Volledig scherm
Foto ter illustratie. © Thinkstock

Koop je voor 30.000 euro online een tv, ligt wel je adres op straat

Van bijna 15.000 webwinkels met keurmerk in Nederland gebruikt 28 procent onbeveiligde verbindingen. Daardoor kunnen hackers persoonlijke informatie en wachtwoorden aftappen of manipuleren.

Quote

Het is schandalig dat een groot bedrijf als Prénatal dit niet op orde heeft

Brenno de Winter

Uit onderzoek van Dutch Internet Marketing naar verbindingen van bijna 15.000 webshops, blijkt dat er daarvan zo’n 4.100 géén https-verbinding hebben. Veilige verbindingen versleutelen gegevens zodat ze onleesbaar zijn voor buitenstaanders. Https is te herkennen aan een groen slotje in de adresbalk van de browser.

Nederlandse webwinkels vragen geregeld om persoonlijke gegevens en wachtwoorden zonder dat er een slotje op de pagina zit. Bij babywinkel Prénatal kun je bijvoorbeeld je e-mailadres, wachtwoord, adres, geboortedatum en de verwachte bevaldatum achterlaten op een onbeveiligde site.

Onthutst

Beveiligingsexpert Brenno de Winter reageert onthutst. ,,Het is schandalig dat een groot bedrijf als Prénatal dit niet op orde heeft.’’ Prénatal erkent bij monde van woordvoerder Coen van de Plas dat die gegevens ‘wél achter het beveiligde deel moeten’. ,,Maar we zitten in een overgangsfase naar een compleet nieuwe website, die volgende maand online gaat. Daar is wel iedere pagina https.’’ Hackers hebben volgens Prénatal nooit kunnen meelezen, omdat de pagina op een andere, onzichtbare manier is beveiligd. ,,Op het moment dat er een tweede gebruiker in dezelfde sessie zou komen, wordt de website meteen afgesloten.’’

Webshop AllesVoorTV.nl, die bijvoorbeeld een LG-televisie van 29.999 euro verkoopt, vroeg tot gisteren op het onbeveiligde deel van de site naar adresgegevens. ,,Het is zeker niet de bedoeling om een onbeveiligde klantomgeving te hebben’’, bekende Jeroen Kwaad van Retail&Clicks, die de website host. ,,Eén van de certificaten bleek niet meer geldig te zijn, dit hebben wij direct aangepast en nu werkt de site naar behoren.’’

Volledig scherm
Voorbeeld van onbeveiligde website. © RV

Beter https

Quote

Met zou beter zijn als alles https is, dat gaan we ook doen de komende maanden

Blokker-directeur Antoine Brouwer

Ook bekende websites zoals Blokker, Xenos en Leen Bakker, die allemaal behoren tot de Blokker Holding, vragen op de onbeveiligde homepage om een e-mailadres voor het versturen van een nieuwsbrief. ,,Alleen als jij op een openbaar netwerk zit en als dat gehackt is, dan zou enkel een e-mailadres onderschept kunnen worden’’, benadrukt Blokker-directeur Antoine Brouwer. ,,Maar het zou beter zijn als alles https is, dat gaan we ook doen de komende maanden.’’

Webwinkels die onveilige verbindingen gebruiken bij het opvragen van persoonsgegevens lijken de Wet bescherming persoonsgegevens te overtreden. ,,De wet vereist dat de organisatie achter de webshop ‘passende’ maatregelen neemt om persoonsgegevens te beveiligen’’, verklaart Inger Sanders van de Autoriteit persoonsgegevens. ,,Passende maatregelen zijn dat de verbinding met de website altijd moet worden beveiligd met https.’’

Gaten dichten

Van alle keurmerken scoort mkbOK het slechtst als het gaat om het aantal onbeveiligde webwinkels. Van de ruim 1.100 bij hen aangesloten webshops heeft 57 procent géén https-verbinding. mkbOK was niet bereikbaar voor commentaar. Het best scoort het keurmerk Thuiswinkel Waarborg. Van de ruim 2.100 aangesloten webshops heeft 13 procent géén beveiligde verbinding. Wijnand Jongen, directeur van Thuiswinkel.org: ,,Wij zijn blij dat we goed uit het onderzoek komen, maar iedere winkel die nog geen beveiligde verbinding heeft is er eentje te veel.’’

Het keurmerk van Thuiswinkel.org controleert ook veilige omgang met persoonsgegevens en gaat met de leden overleggen ‘om eventuele gaten zo snel mogelijk te dichten’. ,,Wij zijn het enige keurmerk dat de beveiliging van persoonsgegevens checkt. We doen dat tweemaal per jaar, maar dat betekent niet dat er tussentijds niet iets fout kan gaan.’’