Wat is de waarde van het Thuiswinkel waarborg?

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • Zoefff
  • Registratie: September 2001
  • Laatst online: 11-07 13:18
Afgelopen maandag publiceerde Webwereld.nl in het kader van "lektober" een lek bij Cheaptickets.nl, waarbij persoonsgegevens van meer dan 700.000 klanten op straat blijken te liggen. Zie ook de artikelen op webwereld of de Tweakers frontpage.

Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in plain text opgeslagen zijn. Naast de wachtwoorden zijn o.a. andere persoonsgegevens zoals naw gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat Raymond Vrijenhoek weten dat er voor zover bekend ( :') ) geen misbruik is gemaakt van de gegevens, mede omdat het oude data is. Dat laatste is in mijn ogen natuurlijk totale bullshit, want voor van 90% van de gebruikers (zo niet meer) zullen de naw, wachtwoord, telefoon en paspoortgegevens nog steeds actueel zijn en dus wel degelijk onderhevig aan misbruik.

Tot zover eigenlijk niet zo veel nieuws, helaas. Wat echter frappant is dat Cheaptickets.nl ook het Thuiswinkel.org waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.

Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel dus met de speerpunten dat certificering zes zekerheden waaronder "Veiligheid en privacy" biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er echte problemen blijken te zijn. Makkelijk, want het CPB heeft op haar beurt geen juridische mogelijkheden om partijen die niet goed omgaan met de opslag van deze gegevens aan te pakken. Tot zover de zekerheid van "privacy".

De statements "veiligheid en privacy" en "veilig betalen" slaan dus voor zover ik kan bedenken alleen maar op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:
  • aboland.nl
    De bestelformulieren of andere formulieren om bijvoorbeeld adreswijzigingen door te geven gaan gewoon over http. Er is geen enkele aanwijzing van een beveiligde omgeving te vinden.
  • adlifestyle.nl
    Als ik m'n winkelwagentje vul en naar het bestelformulier ga, kom ik op een https omgeving terecht. Pas ik de url echter aan naar http, dan krijg ik keurig hetzelfde formulier te zien. Kortom, een man in the middle (b.v. bij open wifi hotspots) kan hier eenvoudig tussen gaan zitten, gebruikers naar de onbeveiligde omgeving doorsturen en vervolgens alle persoonsgegevens die over de lijn vliegen afvangen.
  • aircoshop.nl en aircodump.nl
    Hetzelfde verhaal als hierboven, zonder problemen bestellen via een onbeveiligde omgeving.
  • Ook webshops die in de Tweakers.net pricewatch prijken met het Thuiswinkel waarborg hebben last van precies dezelfde veiligheidslekken. Bij een snelle blik bijvoorbeeld http://www.redcoon.nl/.
Zo kan ik ongetwijfeld nog wel even doorgaan.

Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.

Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel waarborg omdat ze ook nog garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande volgens mij voldoende dat het Thuiswinkel waarborg geen enkele garantie op het gebied van veiligheid en privacy biedt.

Het is niet mijn directe doel om Thuiswinkel door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) vreselijk wordt geblunderd en niemand zich hier verantwoordelijk voor voelt of de verantwoordelijk hiervan op zich neemt. De consument begeeft zich nu in een omgeving die alle uiterlijke schijn heeft om veilig te zijn, maar die als het puntje bij het paaltje komt dat helemaal niet is.

Kortom, deze schijnveiligheid vind ik bijzonder kwalijk en ik ben eigenlijk heel benieuwd of ik hier nu spijkers op laag water aan het zoeken ben, of dat het daadwerkelijk ondanks alle schijn nog steeds dramatisch is gesteld met veiligheid en keurmerken op het internet.


FotoblogWerkaandemuur.nlMoestuincursus.nlTwitter


Acties:
  • 0 Henk 'm!

  • Kuhlie
  • Registratie: December 2002
  • Niet online
Om even op het technische aspect in te gaan: zo lang een gebruiker niet zelf een https-url opent kan een man in the middle altijd de gebruiker op http houden. Dit is inherent aan de werking van http. Het is aan de gebruiker om zelf op te letten of bij dit soort gegevens een https-verbinding ('het slotje') gebruikt wordt.

Ik stel voor dit technische aspect daarom buiten deze discussie te houden.

Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Kuhlie schreef op dinsdag 25 oktober 2011 @ 13:25:
Om even op het technische aspect in te gaan: zo lang een gebruiker niet zelf een https-url opent kan een man in the middle altijd de gebruiker op http houden. Dit is inherent aan de werking van http. Het is aan de gebruiker om zelf op te letten of bij dit soort gegevens een https-verbinding ('het slotje') gebruikt wordt.

Ik stel voor dit technische aspect daarom buiten deze discussie te houden.
Neen, een correcte implementatie zou een httpS verbinding af moeten dwingen op pagina's waar dit nodig is. Dus niet alleen redirecten, maar ook afdwingen dat het via http niet bereikbaar is.

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

  • Kuhlie
  • Registratie: December 2002
  • Niet online
Spider.007 schreef op dinsdag 25 oktober 2011 @ 13:28:
[...]

Neen, een correcte implementatie zou een httpS verbinding af moeten dwingen op pagina's waar dit nodig is. Dus niet alleen redirecten, maar ook afdwingen dat het via http niet bereikbaar is.
Dan kan toch die man-in-the-middle de https-verbinding gebruiken, en de gebruiker http voorschotelen? Daarom zeg ik: laat *dit* technische aspect erbuiten.

De interessantere discussie is of het thuiswinkelwaarborg ook controles moet uitvoeren op hoe webwinkels gegevens opslaan in databases, en hoe lekvrij een site moet zijn.

Acties:
  • 0 Henk 'm!

  • Zoefff
  • Registratie: September 2001
  • Laatst online: 11-07 13:18
Als man-in-the-middle kan je inderdaad zelfs nog zo ver gaan dat je een hele website nabouwt en de gebruiker http voorschotelt. Maar het feit dat alles nu al kant-en-klaar op een http omgeving staat maakt het misbruik zo veel makkelijker dat ik het er in deze discussie wel degelijk toe vind doen.

Los daarvan moet er bij consumenten inderdaad een bewustzijn gecreëerd worden om op het https-slotje te letten. Maar dat is wederom weer een andere discussie :P


FotoblogWerkaandemuur.nlMoestuincursus.nlTwitter


Acties:
  • 0 Henk 'm!

  • Voutloos
  • Registratie: Januari 2002
  • Niet online
Zolang http het default protocol is ga je inderdaad geen MitM voorkomen.

Op zich heeft het niet aanbieden van http voor bepaalde pagina's wel alsnog een voordeel: Met http hoefde je enkel te sniffen als aanvaller, maar met enkel https moet je er ook echt actief tussen gaan zitten.

{signature}


Acties:
  • 0 Henk 'm!

  • fckgw
  • Registratie: Oktober 2006
  • Laatst online: 04-12-2021

fckgw

rhqq2

Hier even op inhakend. Ik zag een shopreview bij Informatique:
Verder heb ik uiteindelijk de thuiswinkel waarborg gebeld, omdat zij dat vermelden op de website, maar die zeiden mij dat zij niet stonden ingeschreven en dat ze hierdoor een proces aan hun broek kregen. Heb ook van deze organisatie niks meer te horen gekregen. Werkelijk ongekend voor Nederland hoe slecht!
Thuiswinkel werkt echter met een 'certificaat' dat op hun eigen website staat, in in het geval van Informatique staat er dat het gewoon in orde is (link van de site van Informatique afkomstig). Kun je hier dan ook niet van op aan, of is het waarschijnlijker dat het een rogue shopreview betreft?

Acties:
  • 0 Henk 'm!

  • Zoefff
  • Registratie: September 2001
  • Laatst online: 11-07 13:18
Op de Thuiswinkel site staat Informatique ook gewoon in de ledenlijst, dus in dit geval lijkt het me inderdaad een wat verkeerd gekleurde shopreview.


FotoblogWerkaandemuur.nlMoestuincursus.nlTwitter


Acties:
  • 0 Henk 'm!

  • Miyamoto
  • Registratie: Februari 2009
  • Laatst online: 08:59
Je kunt van een organisatie als Thuiswinkel niet verwachten dat ze volledige bedrijfsstructuur doornemen om gaten en lekken in de organisatie te zoeken. Er wordt hip gestrooid met termen als 'privacy' en 'veiligheid', maar wat kunnen ze nu daadwerkelijk controleren? Het enige zou zijn wat hierboven wordt gezegd, gebruik van een SSL certificaat. Maar dan blijft, als de achterdeur open staat...

Een dergelijke organisatie moet zich daar dan ook niet mee willen bemoeien. Dat is op zich weer een stukje misleiding voor de consument! Veel consumenten hechten meer waarde aan een dergelijk certificaat dan dat het eigenlijk heeft.

Dan blijven er van de zes zekerheden dus maar drie à vier over:
(Weten met wie zij zaken doet en) hoe zij het bedrijf gemakkelijk kunnen benaderen
Algemene voorwaarden zijn overeengekomen met de Consumentenbond
Bedenktijd: 14 dagen
Onafhankelijke klachtenbemiddeling

'Veilig betalen' en 'Veiligheid en privacy' zijn dus zaken waar een Thuiswinkel geen weet van kan hebben.

Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

Miyamoto schreef op dinsdag 25 oktober 2011 @ 23:23:
Je kunt van een organisatie als Thuiswinkel niet verwachten dat ze volledige bedrijfsstructuur doornemen om gaten en lekken in de organisatie te zoeken. Er wordt hip gestrooid met termen als 'privacy' en 'veiligheid', maar wat kunnen ze nu daadwerkelijk controleren?

[...]

'Veilig betalen' en 'Veiligheid en privacy' zijn dus zaken waar een Thuiswinkel geen weet van kan hebben.
Ik ben het eens dat je van een stichting als Thuiswinkel niet kan verwachten dat zij de veiligheid controleren of garanderen. Maar wat wel kan worden afgedwongen, voordat een keurmerk wordt verleend:

• Openbaarheid bij lekken van klantgegevens
• SSL op pagina's met persoonlijke gegevens
• Salted hashing van wachtwoorden

Het keurmerk kan ook een toegevoegde waarde voor de consument hebben op het gebied van veiligheid.

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate


Acties:
  • 0 Henk 'm!

  • Miyamoto
  • Registratie: Februari 2009
  • Laatst online: 08:59
Maar in het geval van cheaptickets schiet je ook daar niks mee op?
Of je zou alle development omgevingen ook moeten checken (Als Thuiswinkel zijnde) en dan hopen dat de winkel ook volledig inzicht geeft in deze omgevingen (Niet dat er ergens nog een iPad slingerd met een kopie van de data zeg maar...)

Dus dan heb je dadelijk de productie website volledig 'gechecked', maar dan blijf je zitten met de rest. Die dus zoals blijkt net zo gevaarlijk, of misschien zelfs gevaarlijker zijn.

Acties:
  • 0 Henk 'm!

  • Spider.007
  • Registratie: December 2000
  • Niet online

Spider.007

* Tetragrammaton

De oplossing zit ook niet in controle, maar in regelgeving en beboeting (zei het geldelijk, dan wel door intrekking van het keurmerk). Door regelgeving zal het bedrijf gedwongen worden zijn eigen controle's te implementeren; en dat zou in dit geval dus wel geholpen hebben.

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

Pagina: 1