Victor Bouman, 4 mei 2015

Merendeel grote webwinkels lekt klantgegevens

Uit een recent onderzoek van de Consumentenbond is gebleken dat maar liefst tweederde van de honderd grootste Nederlandse webwinkels de beveiliging van de website niet op orde heeft. Door verschillende soorten gebreken konden de onderzoekende hackers op relatief eenvoudige wijze toegang krijgen tot klantgegevens van deze webwinkels, en in een enkel geval zelfs tot het complete klantenbestand.

Daarvoor hadden de onderzoekers niet eens hele specifieke kennis nodig. Bij een site konden zij een grote hoeveelheid klantgegevens – zoals adressen en bestelhistorie – inzien en bewerken met behulp van een zogenaamde SQL-injectie. Dat is een techniek waarbij een hacker in een invulveld (bijvoorbeeld het adresveld van een bestelformulier) database-opdrachten invoert, die vervolgens door de software waar de site op draait worden uitgevoerd. Zo'n opdracht kan bijvoorbeeld zijn “toon alle adressen” of zelfs “wis de database”. Dat is natuurlijk niet de bedoeling, en des te kwalijker omdat een dergelijk lek over het algemeen eenvoudig kan worden voorkomen door de server en de databasesoftware juist in te stellen.

Daarnaast konden de hackende onderzoekers in veel gevallen met behulp van “cross site scripting” gegevens ontvangen die door willekeurige klanten van de webwinkel werden ingevoerd. Daartoe hadden zij gebruik gemaakt van zwakke plekken in de beveiliging, waardoor ze bijvoorbeeld cookies van de klanten hadden kunnen kopiëren, of de klant naar een nep-site hadden kunnen leiden. Op die site zou de klant vervolgens gegevens kunnen invoeren, die direct naar de hacker zouden worden verzonden. Ook dit soort lekken is vrij eenvoudig te voorkomen.

Gelukkig voor de winkels en hun klanten hebben de onderzoekers de klantgegevens niet daadwerkelijk bekeken. “Echte” hackers zouden dat uiteraard wel kunnen doen. Dat zou, met name op het vlak van reputatie, schadelijke gevolgen kunnen hebben voor de betrokken winkel. De directe financiële gevolgen zullen momenteel echter beperkt zijn. Het is denkbaar dat klanten waarvan de gegevens openbaar zijn geworden de winkel zullen aanspreken tot schadevergoeding, maar de hoogte daarvan zal relatief gering zijn.

De boetebevoegdheden van het College Bescherming Persoonsgegevens zijn bovendien op dit moment nog zeer beperkt. Verder dan een last onder dwangsom – waarbij het CBP de winkel zou verplichten de beveiliging te verbeteren op straffe van een dwangsom – gaan haar bevoegdheden thans niet. Daar gaat echter verandering in komen! In de loop van dit jaar zal het CBP de mogelijkheid krijgen om, in beginsel na waarschuwing, boetes op te leggen tot een bedrag van € 810.000,-. Na invoering van de Europese privacyverordening (naar verwachting binnen een paar jaar) zal de maximale boete 2 % van de wereldwijde jaaromzet bedragen.

Een goede omgang met persoonsgegevens wordt dus nog belangrijker, en beveiliging van die data maakt daarvan uiteraard een belangrijk onderdeel uit. Wij ondersteunen u graag bij het formuleren en implementeren van een passend privacybeleid. Indien gewenst kunnen wij daarbij tevens de technische expertise van onze partner Hoffmann Bedrijfsrecherche inroepen. De onderzoekers van Hoffmann weten schrikbarend vaak een openstaand achterdeurtje te vinden!

Vragen?