Toon posts:

Wat is de waarde van het Thuiswinkel waarborg?

Pagina: 1
Acties:

  • Zoefff
  • Registratie: September 2001
  • Laatst online: 22:48
Afgelopen maandag publiceerde Webwereld.nl in het kader van "lektober" een lek bij Cheaptickets.nl, waarbij persoonsgegevens van meer dan 700.000 klanten op straat blijken te liggen. Zie ook de artikelen op webwereld of de Tweakers frontpage.

Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in plain text opgeslagen zijn. Naast de wachtwoorden zijn o.a. andere persoonsgegevens zoals naw gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat Raymond Vrijenhoek weten dat er voor zover bekend ( :') ) geen misbruik is gemaakt van de gegevens, mede omdat het oude data is. Dat laatste is in mijn ogen natuurlijk totale bullshit, want voor van 90% van de gebruikers (zo niet meer) zullen de naw, wachtwoord, telefoon en paspoortgegevens nog steeds actueel zijn en dus wel degelijk onderhevig aan misbruik.

Tot zover eigenlijk niet zo veel nieuws, helaas. Wat echter frappant is dat Cheaptickets.nl ook het Thuiswinkel.org waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.

Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel dus met de speerpunten dat certificering zes zekerheden waaronder "Veiligheid en privacy" biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er echte problemen blijken te zijn. Makkelijk, want het CPB heeft op haar beurt geen juridische mogelijkheden om partijen die niet goed omgaan met de opslag van deze gegevens aan te pakken. Tot zover de zekerheid van "privacy".

De statements "veiligheid en privacy" en "veilig betalen" slaan dus voor zover ik kan bedenken alleen maar op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:
  • aboland.nl
    De bestelformulieren of andere formulieren om bijvoorbeeld adreswijzigingen door te geven gaan gewoon over http. Er is geen enkele aanwijzing van een beveiligde omgeving te vinden.
  • adlifestyle.nl
    Als ik m'n winkelwagentje vul en naar het bestelformulier ga, kom ik op een https omgeving terecht. Pas ik de url echter aan naar http, dan krijg ik keurig hetzelfde formulier te zien. Kortom, een man in the middle (b.v. bij open wifi hotspots) kan hier eenvoudig tussen gaan zitten, gebruikers naar de onbeveiligde omgeving doorsturen en vervolgens alle persoonsgegevens die over de lijn vliegen afvangen.
  • aircoshop.nl en aircodump.nl
    Hetzelfde verhaal als hierboven, zonder problemen bestellen via een onbeveiligde omgeving.
  • Ook webshops die in de Tweakers.net pricewatch prijken met het Thuiswinkel waarborg hebben last van precies dezelfde veiligheidslekken. Bij een snelle blik bijvoorbeeld http://www.redcoon.nl/.
Zo kan ik ongetwijfeld nog wel even doorgaan.

Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.

Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel waarborg omdat ze ook nog garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande volgens mij voldoende dat het Thuiswinkel waarborg geen enkele garantie op het gebied van veiligheid en privacy biedt.

Het is niet mijn directe doel om Thuiswinkel door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) vreselijk wordt geblunderd en niemand zich hier verantwoordelijk voor voelt of de verantwoordelijk hiervan op zich neemt. De consument begeeft zich nu in een omgeving die alle uiterlijke schijn heeft om veilig te zijn, maar die als het puntje bij het paaltje komt dat helemaal niet is.

Kortom, deze schijnveiligheid vind ik bijzonder kwalijk en ik ben eigenlijk heel benieuwd of ik hier nu spijkers op laag water aan het zoeken ben, of dat het daadwerkelijk ondanks alle schijn nog steeds dramatisch is gesteld met veiligheid en keurmerken op het internet.


FotoblogWerkaandemuur.nlMoestuincursus.nlTwitter

Pagina: 1



Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee