‘Webwinkels slecht beveiligd’

Uit onderzoek van internetbeveiliger Networking4all blijkt dat een kwart van de bij branche-organisatie Thuiswinkel.org aangesloten webwinkels de beveiliging nog steeds niet op orde heeft.

November vorig jaar deed Networking4all onderzoek naar de beveiliging van websites van leden van Thuiswinkel.org. Deze belangenorganisatie waar ongeveer duizend webwinkeliers in Nederland bij aangesloten zijn geeft een keurmerk uit aan sites waar de consument veilig kooptransacties kan uitvoeren. Het onderzoek gaf aan dat 61 procent van de bijna duizend leden de beveiliging niet op orde had. Thuiswinkel.org gaf aan dat op 1 april 2010 alle leden over een beveiligde verbinding moest beschikken. Zo niet, dan zou het keurmerk ingetrokken worden.

Volgens Networking4all voldoet nog steeds ruim 25 procent niet aan het pakket nieuwe eisen, waar het beveiligen van persoonsgegevens één van is. Thuiswinkel.org verplicht de aangesloten webwinkels gebruik te maken van zogenaamde ssl-certificaten op websites, waarmee transacties goed beveiligd zijn. Volgens Networking4all bevinden zich onder de 736 websites die door Thuiwinkel.org goedgekeurd nog steeds minimaal veertig sites die persoonsgegevens niet over zo'n beveiligde verbinding sturen. Gevolg is dat op deze websites gegevens van consumenten nog steeds zonder veel moeite af te tappen zijn. Dit kan grote gevolgen hebben voor de gedupeerden, waarbij de onderschepping zelfs kan oplopen tot een gerichte diefstal of identiteitsfraude.

Onder de 253 websites die nog niet aan de eisen van Thuiswinkel.org voldoet, bevindt zich een aantal bekende namen. Zo heeft nog altijd marktplaats.nl, speurders.nl, halfords.nl, pietklerkx.nl en 123luisterboek.nl de persoonsgegevens van klanten nog niet afdoende afgeschermd. Marktplaats zou op de hoogte zijn van de gebreken en stelt dat het al enige tijd bezig is de beveiliging van de website te verbeteren, maar dat dit vanwege de complexiteit van deze grote site nog enige tijd gaat duren. Het risico lijkt bij Marktplaats beperkt tot de gebruikersnaam en het wachtwoord, omdat de rest van de gegevens al openlijk gepubliceerd wordt. Het risico hiervan wordt echter in het algemeen onderschat. Helaas wordt nog te vaak hetzelfde wachtwoord voor meerdere accounts gebruikt en zo kunnen kwaadwillenden bijvoorbeeld ook inloggen op andere websites of het e-mailaccount en daarmee andere accounts overnemen.

Doordat websites als marktplaats.nl en pietklerkx.nl niet beschikken over een beveiligingscertificaat lopen zij nu het risico voorlopig het thuiswinkel waarborg kwijt te raken. En dat is een goede zaak voor de consument. Zij moeten er namelijk op kunnen vertrouwen dat zij op sites met dit waarborg veilig kunnen shoppen. Paul van Brouwershaven, technisch directeur van Networking4all: “Het is erg positief dat het aantal leden die persoonsgegevens over een beveiligde verbinding stuurt is gestegen. Het is echter wel teleurstellend dat uit een steekproef blijkt dat meer dan veertig webwinkels dit niet doet, ondanks de goedkeuring van Thuiswinkel.org. Wanneer de certificering goed was uitgevoerd had je als consument echt waarde aan het thuiswinkel waarborg kunnen hechten. Nu kun je dat in twijfel trekken.”