2min

Tags in dit artikel

, , ,

Een 17 jarige ICT-student heeft 150 webwinkels met het Thuiswinkel Waarborg-certificaat gevonden die een lek hebben. Dit heeft hij in twee dagen onderzocht naar aanleiding van de grote CheapTickets-lek waarbij 715.000 klantgegevens waren uitgelekt.

De 17 jarige student, Daniël Heesen, was nieuwsgierig geworden naar aanleiding van de grote lek in een testserver van CheapTickerts.nl. Hij vroeg zich af hoeveel websites met het Thuiswinkel Waarborg-certificaat nog meer lek zijn. Uit zijn tweedaagse onderzoek bleek dat 10 procent van de aangesloten Thuiswinkel organisaties een lekke website heeft, waaronder V&D, Kruidvat, Marskramer, BCC en Belcompany.

Bij 143 van de 150 lekken betreft het een xss-lek waarbij de hacker door middel van cross-site scriptring de webshop kan voorzien van eigen pagina’s of programmeercodes waardoor winkelbezoekers gevaar lopen. Daarnaast zijn er 18 webshops ontdekt waarbij de achterliggende database kan worden aangesproken. Hiermee kunnen kwaadwillende commando’s worden uitgevoerd. Ook kan de inhoud van zo’n database worden buitgemaakt.

De resultaten van zijn onderzoek zijn gebundeld en worden vandaag vrijgegeven. "Door het schrijven van dit rapport heb ik onder andere ontdekt dat 11,9% van alle websites die het Thuiswinkel Waarborg-certificaat hebben nog lek zijn. Sommige hebben zelfs ook nog het McAfee-certificaat. Websites van grote namen waar lekken in zitten zijn bijvoorbeeld: V&D, Kruidvat, Marskramer, BCC, Belcompany en Nemo." aldus Daniël Heesen.

De Thuiswinkelorganisatie heeft laten weten dat alle betreffende webshops zijn benaderd. De meeste hiervan hebben reactie gegeven en actie ondernomen. "De rest is nagebeld." aldus Thuiswinkel.org-directeur Wijnand Jongen