Afgelopen maandag publiceerde Webwereld.nl in het kader van "lektober" een lek bij Cheaptickets.nl, waarbij persoonsgegevens van meer dan 700.000 klanten op straat blijken te liggen. Zie ook de artikelen op webwereld of de Tweakers frontpage.
Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in plain text opgeslagen zijn. Naast de wachtwoorden zijn o.a. andere persoonsgegevens zoals naw gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat Raymond Vrijenhoek weten dat er voor zover bekend (
) geen misbruik is gemaakt van de gegevens, mede omdat het oude data is. Dat laatste is in mijn ogen natuurlijk totale bullshit, want voor van 90% van de gebruikers (zo niet meer) zullen de naw, wachtwoord, telefoon en paspoortgegevens nog steeds actueel zijn en dus wel degelijk onderhevig aan misbruik.
Tot zover eigenlijk niet zo veel nieuws, helaas. Wat echter frappant is dat Cheaptickets.nl ook het Thuiswinkel.org waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.
Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel dus met de speerpunten dat certificering zes zekerheden waaronder "Veiligheid en privacy" biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er echte problemen blijken te zijn. Makkelijk, want het CPB heeft op haar beurt geen juridische mogelijkheden om partijen die niet goed omgaan met de opslag van deze gegevens aan te pakken. Tot zover de zekerheid van "privacy".
De statements "veiligheid en privacy" en "veilig betalen" slaan dus voor zover ik kan bedenken alleen maar op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:
Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.
Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel waarborg omdat ze ook nog garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande volgens mij voldoende dat het Thuiswinkel waarborg geen enkele garantie op het gebied van veiligheid en privacy biedt.
Het is niet mijn directe doel om Thuiswinkel door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) vreselijk wordt geblunderd en niemand zich hier verantwoordelijk voor voelt of de verantwoordelijk hiervan op zich neemt. De consument begeeft zich nu in een omgeving die alle uiterlijke schijn heeft om veilig te zijn, maar die als het puntje bij het paaltje komt dat helemaal niet is.
Kortom, deze schijnveiligheid vind ik bijzonder kwalijk en ik ben eigenlijk heel benieuwd of ik hier nu spijkers op laag water aan het zoeken ben, of dat het daadwerkelijk ondanks alle schijn nog steeds dramatisch is gesteld met veiligheid en keurmerken op het internet.
Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in plain text opgeslagen zijn. Naast de wachtwoorden zijn o.a. andere persoonsgegevens zoals naw gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat Raymond Vrijenhoek weten dat er voor zover bekend (
Tot zover eigenlijk niet zo veel nieuws, helaas. Wat echter frappant is dat Cheaptickets.nl ook het Thuiswinkel.org waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.
Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel dus met de speerpunten dat certificering zes zekerheden waaronder "Veiligheid en privacy" biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er echte problemen blijken te zijn. Makkelijk, want het CPB heeft op haar beurt geen juridische mogelijkheden om partijen die niet goed omgaan met de opslag van deze gegevens aan te pakken. Tot zover de zekerheid van "privacy".
De statements "veiligheid en privacy" en "veilig betalen" slaan dus voor zover ik kan bedenken alleen maar op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:
- aboland.nl
De bestelformulieren of andere formulieren om bijvoorbeeld adreswijzigingen door te geven gaan gewoon over http. Er is geen enkele aanwijzing van een beveiligde omgeving te vinden. - adlifestyle.nl
Als ik m'n winkelwagentje vul en naar het bestelformulier ga, kom ik op een https omgeving terecht. Pas ik de url echter aan naar http, dan krijg ik keurig hetzelfde formulier te zien. Kortom, een man in the middle (b.v. bij open wifi hotspots) kan hier eenvoudig tussen gaan zitten, gebruikers naar de onbeveiligde omgeving doorsturen en vervolgens alle persoonsgegevens die over de lijn vliegen afvangen. - aircoshop.nl en aircodump.nl
Hetzelfde verhaal als hierboven, zonder problemen bestellen via een onbeveiligde omgeving. - Ook webshops die in de Tweakers.net pricewatch prijken met het Thuiswinkel waarborg hebben last van precies dezelfde veiligheidslekken. Bij een snelle blik bijvoorbeeld http://www.redcoon.nl/.
Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.
Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel waarborg omdat ze ook nog garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande volgens mij voldoende dat het Thuiswinkel waarborg geen enkele garantie op het gebied van veiligheid en privacy biedt.
Het is niet mijn directe doel om Thuiswinkel door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) vreselijk wordt geblunderd en niemand zich hier verantwoordelijk voor voelt of de verantwoordelijk hiervan op zich neemt. De consument begeeft zich nu in een omgeving die alle uiterlijke schijn heeft om veilig te zijn, maar die als het puntje bij het paaltje komt dat helemaal niet is.
Kortom, deze schijnveiligheid vind ik bijzonder kwalijk en ik ben eigenlijk heel benieuwd of ik hier nu spijkers op laag water aan het zoeken ben, of dat het daadwerkelijk ondanks alle schijn nog steeds dramatisch is gesteld met veiligheid en keurmerken op het internet.