Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★ (de informatie over het datalek komt uit meerdere bronnen)
"160 webwinkels met een Thuiswinkel.org-certificaat" (Tweakers.net, 11/11/03)
Onduidelijk.
Onduidelijk.
Inbreuk op de beveiliging van de betreffende gegevens.
"'Ik ben de ledenlijst van Thuiswinkel.org afgegaan op kwetsbare winkels', zegt communicatiestudent [...]. In totaal heeft de onderzoeker 1200 winkels gecontroleerd. [De student] stelt in 160 van die websites lekken te hebben gevonden. 'Ik heb elke website op één plek gecontroleerd', aldus de onderzoeker. Meestal ging het daarbij om het zoekveld, waarin hij strings invoerde die op beveiligingsproblemen kunnen duiden. De gevonden kwetsbaarheden waren hoofdzakelijk cross site scripting-kwetsbaarheden, waarmee cookies kunnen worden achterhaald en malafide code kan worden uitgevoerd. Om deze kwetsbaarheden daadwerkelijk te exploiteren, moet een slachtoffer er nog wel toe worden verleid om op een speciaal geprepareerde link te klikken. Het gaat daarmee om een relatief onschuldige kwetsbaarheid, maar tussen de 143 websites die vatbaar waren voor xss zaten wel grote webwinkels, zoals BelCompany, V&D en BCC. Ernstig waren de 17 sql injection-kwetsbaarheden die [de student] vond. Met sql-injectie, waarbij user-input als valide sql-queries wordt geïnterpreteerd, kan in theorie een hele database worden ontfutseld. Onder andere Baby-Dump.nl en Kabeltje.com bevatten dergelijke kwetsbaarheden, maar deze zijn inmiddels gedicht. 'Sommige websites zijn nog steeds lek', zegt [de student], maar een deel van de winkels heeft wel maatregelen genomen. 'Dit zijn waarschijnlijk niet eens de enige lekken in webwinkels, want ik heb bijvoorbeeld niet gecontroleerd op blinde sql-injecties', zegt [de student]. Bij blinde sql-injecties is een website wel kwetsbaar voor sql-injectie, maar worden de resultaten van een opdracht niet weergegeven. Een hacker kan dan via een omweg alsnog commando's uitvoeren.' De onderzoeker heeft zijn bevindingen gemeld aan de stichting Thuiswinkel.org, die een keurmerk voor webshops beheert." (Tweakers.net, 11/11/03)
"Ruim 10 procent van de Thuiswinkel-leden heeft een lekke site. Dit blijkt uit een onderzoek dat in twee dagen is uitgevoerd door de 17-jarige ict-student [...]. Hij is door het grote lek in CheapTickets.nl nieuwsgierig geworden naar de veiligheid van andere webwinkels. Hij vroeg zich af hoeveel lekke websites er zijn onder de bedrijven die het Thuiswinkel Waarborg-certificaat dragen. [...] In totaal prijkt de Thuiswinkel-waarborg op 1200 websites, waarbij het ledenbestand is ontdaan van doublures en met weglating van niet-werkende websites. Op 143 daarvan heeft de student nu xss-lekken (cross-site scripting) gevonden. Daarmee kunnen kwaadwillenden de lekkende webwinkels voorzien van eigen pagina's, informatie of programmacode waardoor winkelbezoekers gevaar lopen. Daarnaast heeft de student bij 18 van de 1200 websites ontdekt dat die kwetsbaar zijn voor SQL-injectie aanvallen. Daarmee kan een kwaadwillende eigen commando's geven aan de achterliggende database van een website. De inhoud - al dan niet geheel - van zo'n database kan daarmee worden buitgemaakt. Deze lekken zijn gevonden in vele kleine en ook enkele grote webwinkels Het lekkenonderzoek is eind vorige week in twee dagen uitgevoerd. Daarna is Thuiswinkel.org afgelopen weekend geïnformeerd." (WebWereld, 11/11/03)
"[Thuiswinkel.org] heeft aangesloten webwinkels na overleg met Tweakers.net dinsdagmorgen op de hoogte gesteld. [...], directeur van Thuiswinkel.org, zegt te hopen dat het onderzoek bijdraagt aan een betere beveiliging van webwinkels. [...] [De directeur] zegt dat zijn organisatie al na het bekend worden van dat bewuste lek heeft besloten om meer aandacht aan de beveiliging van webwinkels te besteden. 'We controleren onze leden nog niet op beveiliging, maar dat gaat veranderen', aldus [de directeur]. 'Veiligheid van webwinkels is een groot goed.' De eisen waaraan webwinkels moeten voldoen om het Thuiswinkel.org-keurmerk te mogen dragen, worden aangevuld met eisen voor veiligheid. Thuiswinkels die zich niet aan de eisen houden, lopen het risico geschorst te worden of zelfs helemaal te worden geroyeerd. Hoe de websites worden gecontroleerd, is nog niet bekend. [De directeur] zegt dat de organisatie nog moet bekijken wat 'haalbaar' is. (Tweakers.net, 11/11/03)
"Directeur [... van Thuiswinkel.org] zegt tegen Webwereld dat hij maandagavond op de hoogte is gesteld. Vervolgens heeft de brancheorganisatie de betreffende bedrijven ingelicht. 'We hebben dinsdagochtend de lekken aan de webwinkels gemeld, met de url's en wat uitleg: wat het lek betekent en wat xss en SQL-injectie is. Onze leden zijn namelijk meestal ondernemers, die de bouw van hun sites uitbesteden.' [...] Één van de getroffen webwinkels heeft zelf alvast contact opgenomen met Webwereld. Online-warenhuis Ardeau meldt dat het lek is gedicht. 'Dit probleem is inmiddels opgelost, en wij hopen dat u onze website www.ardeau.nl opnieuw wil beoordelen. Zou u vervolgens bij een goede beoordeling, ons uit de lijst van a.s. donderdag kunnen halen?' Andere getroffen webwinkels konden tegenover Webwereld nog niet reageren op de aangemelde lekken. Zo laat de woordvoerster van V&D weten dat het concern bezig is met een reactie op de vragen van Webwereld. Thuiswinkel.org-directeur [...] verzekert wel dat alle betreffende leden zijn benaderd. Het merendeel heeft feedback gegeven en actie ondernomen. 'De rest is nagebeld.' Woensdagmiddag om 13:00 heeft meer dan de helft van de webwinkels de lekken gedicht, aldus [de directeur]. 'Ik ga er vanuit dat het overgrote merendeel morgen [donderdag - red.] ook gedicht is.' Update: V&D heeft Webwereld nog een formele reactie gegeven: 'Bedankt voor het signaleren van het lek. We hebben het lek binnen 12 uur onderzocht, getest en opgelost.' Het concern meldt ook dat het zelf 'regelmatig scherpe controles' laat uitvoeren. 'Deze controle vindt plaats na grotere aanpassingen op onze site en deze controle is bijna afgerond.' Verder zegt V&D de eigen controles nu te hebben aangescherpt." (WebWereld, 11/11/03)
Eerste publicatie:
Tweakers.net: Student ontdekt beveiligingsproblemen bij 160 webwinkels (11/11/03)
WebWereld: V&D, BCC, Kruidvat en 150 andere webwinkels lek (11/11/03)
Zie verder:
NOS: Student vindt beveiligingslek bij 160 webwinkels (11/11/03)
Nu.nl: Beveiligingsprobleem ontdekt bij groot aantal webwinkels (11/11/03)
WebWereld: Webwinkellekken beschadigen Thuiswinkel Waarborg (11/11/03)
Tweakers.net: Thuiswinkel.org wil webwinkels laten testen op lekken (11/11/10)