Thuiswinkel.org: website Baby Dump is veilig
De webwinkel Baby-dump.nl is na een veiligheidsscan veilig bevonden. Dat meldt brancheorganisatie Thuiswinkel.org. Naar aanleiding van dit resultaat zal het Thuiswinkel-keurmerk dan ook niet worden afgenomen van de webwinkel.
De veiligheidsscan is uitgevoerd nadat vorige week inloggegevens zijn gepubliceerd die in eerste instantie buitgemaakt zouden zijn bij een inbraak bij KPN, maar uiteindelijk afkomstig bleken van de database van Baby Dump. Deze persoonsgegevens zouden in 2011 zijn buitgemaakt. Thuiswinkel.org besloot zondag in overleg met de eigenaar van Baby-dump.nl om de webwinkel te laten controleren op kwetsbaarheden.
De brancheorganisatie stelt dat een niet nader genoemd bedrijf de veiligheidsscans op Baby-dump.nl heeft uitgevoerd. De gebruikte vulnerability scanners zouden gebaseerd zijn op de Owasp Top 10, een organisatie die lijsten vaststelt met de belangrijkste kwetsbare punten van websites en de achterliggende databases.
Uit de resultaten van de veiligheidsscan zou inmiddels zijn gebleken dat de website van Baby Dump veilig is, al benadrukt Thuiswinkel.org dat het gaat om een momentopname. De brancheorganisatie ziet in elk geval geen reden om het keurmerk af te nemen en Baby-dump.nl te schorsen.
Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken. Directeur Wijnand Jongen stelt dat 'ethische hackers' hun kunsten beter commercieel kunnen aanbieden of dat ze beter 'hun rol pakken in de samenleving'. Een rechter zou moeten oordelen of een hacker al dan niet strafbaar heeft gehandeld. Jongen benadrukt wel dat webwinkels zelf verantwoordelijk zijn voor een solide beveiliging van persoonsgegevens in hun systemen.
Reacties (51)
Zucht..thuiswinkel.org googled een testsite en wil zo het klantvertrouwen weer op poetsen..? Veilige websites bestaan niet punt.
Hoe ironisch dat 2 van de woorden op die website links zijn.
Als jij op die pagina 2 links ziet staan, heb je adware/spyware op je computer of een vage browserplugin die tekst omzet in links. Die pagina bevat namelijk 0 links.
<html>
<head>
<title>The Last Page of the Internet</title>
</head>
<body>
<center>
<h1><b><u>Attention:</u></b></h1>
<p><br><strong> You have reached the very last page of the Internet.</strong></p>
<p><br><strong> We hope you have enjoyed your browsing.</strong></p>
<p><br><strong> Now turn off your computer and go outside.</strong></p>
</center>
</body>
</html>
<head>
<title>The Last Page of the Internet</title>
</head>
<body>
<center>
<h1><b><u>Attention:</u></b></h1>
<p><br><strong> You have reached the very last page of the Internet.</strong></p>
<p><br><strong> We hope you have enjoyed your browsing.</strong></p>
<p><br><strong> Now turn off your computer and go outside.</strong></p>
</center>
</body>
</html>
Dat niet alleen, de site is dus gehacked. Maar ze hebben kennelijk dus geen lek gevonden, dus is het veilig????
Die site is helemaal niet "veilig" totdat het lek gevonden is!
Die site is helemaal niet "veilig" totdat het lek gevonden is!
In het vorige artikel werd al gemeld dat de site sinds 2011 al veiliger is gemaakt.
Excuseer, 100% veilige complexe websites bestaan niet. Dat is zo omdat bij een complexe website er zoveel code instaat, dat een mens onmogelijk alles kan controleren en verifiëren. Bij een pure HTML pagina kan zelfs ik nog controleren of het 'veilig' is.
Oh ja? Hoe controleer jij op kernel-, netwerk- en webserver vulnerabilities?Bij een pure HTML pagina kan zelfs ik nog controleren of het 'veilig' is.
Hier gaat het volgens mij over de bescherming van klantgegevens. Gezien een simpele HTML-pagina geen klantensysteem heeft, is er dus ook geen privacy-gevaar voor bezoekers.
Jij kijkt ook niet verder dan je neus lang is. Als die simpele website door een webserver geserveerd wordt met een gat erin, kun je via die webserver toegang krijgen tot het hele systeem en eventueel zelfs het hele netwerk waarop dat systeem z'n werk doet.
Staan daar ergens klantgegevens? Dan ben je mooi de klos.
Staan daar ergens klantgegevens? Dan ben je mooi de klos.
Ja idd. Maar dit zegt genoeg over (de overbodigheid van) het keurmerk van Thuiswinkel.org. Als Baby Dump al veilig is terwijl ze klantengegevens lekken, dan kun je er vanuit gaan dat andere sites met dit keurmerk ook zo lek als een mandje zijn.
Edit: punt is dat Baby Dump vorig jaar ook al dat keurmerk had wat ze toen niet is afgenomen.
Edit: punt is dat Baby Dump vorig jaar ook al dat keurmerk had wat ze toen niet is afgenomen.
[Reactie gewijzigd door tweaker2010 op dinsdag 14 februari 2012 19:53]
Flauwekul natuurlijk. Deze gegevens zijn vorig jaar gestolen dus er is in de tussentijd meer dan genoeg tijd geweest voor Baby Dump om de beveiliging van de website te verbeteren.
Daarnaast raakt je conclusie echt kant noch wal.
Daarnaast raakt je conclusie echt kant noch wal.
Een relatie afzeiken is geld uit je portomonnee gooien ;-), Dat is de thuiswinkel organisatie. Totale onzin en geldklopperij.
Nu maar hopen dat dit daadwerkelijk zo is... als er straks hax0r kiddies aan de slag gaan en alsnog zwakheden vinden dan is dat Thuiswinkel keurmerk ook niet meer zo veel waard... althans niet voor security.
Ze schrijven zelf beveiliging is een momentopname, morgen kan het dus al weer fout zijn.
De vraag is hoe vaak wordt een website op kwetsbaarheden getest en kun je er iets tegen doen. Een niet ontdekte kwetsbaarheid kan al misbruikt worden en eentje die ontdekt is moet je dan meteen updaten hetgeen in de praktijk eerder weken of maanden zal duren.
Het keurmerk is dus een momentopname en zegt dus onder de streek gewoon helemaal niet. Het is een wassen neus.
Als thuiswinkel bij de overheid iets wil bepleiten kunnen ze beter bepleiten dat er richtlijnen komen voor het uitgeven van een keurmerk en dat er ook controle plaatsvindt op keurmerken. Maar ja als men dat doet zal waarschijnlijk blijken dat de meeste keurmerken niet voorstellen.
De vraag is hoe vaak wordt een website op kwetsbaarheden getest en kun je er iets tegen doen. Een niet ontdekte kwetsbaarheid kan al misbruikt worden en eentje die ontdekt is moet je dan meteen updaten hetgeen in de praktijk eerder weken of maanden zal duren.
Het keurmerk is dus een momentopname en zegt dus onder de streek gewoon helemaal niet. Het is een wassen neus.
Als thuiswinkel bij de overheid iets wil bepleiten kunnen ze beter bepleiten dat er richtlijnen komen voor het uitgeven van een keurmerk en dat er ook controle plaatsvindt op keurmerken. Maar ja als men dat doet zal waarschijnlijk blijken dat de meeste keurmerken niet voorstellen.
Zelfs op dit moment is de beveiliging nog een lachertje.
- XSS 'voorkomt' men met een 'filter' die gewoon alles naar de frontpage redirect als er een <, >, " etc in de url voorkomt. Dat je bv als iets in een event zit of een onderdeel van een tag je die tekens niet nodig heeft om wat te injecten weet men zeker niet?
- CSRF is nog nog gewoon mogelijk (OWASP nr 5)
Verder ga ik niet zoeken want ze zullen wss happig zijn om iedereen aan te geven die ook maar iets probeert te vinden, maar wat mij betreft heeft de Thuiswinkel organisatie hier hard gefaald. Vooral met CSRF kan je genoeg ellende uithalen
- XSS 'voorkomt' men met een 'filter' die gewoon alles naar de frontpage redirect als er een <, >, " etc in de url voorkomt. Dat je bv als iets in een event zit of een onderdeel van een tag je die tekens niet nodig heeft om wat te injecten weet men zeker niet?
- CSRF is nog nog gewoon mogelijk (OWASP nr 5)
Verder ga ik niet zoeken want ze zullen wss happig zijn om iedereen aan te geven die ook maar iets probeert te vinden, maar wat mij betreft heeft de Thuiswinkel organisatie hier hard gefaald. Vooral met CSRF kan je genoeg ellende uithalen
[Reactie gewijzigd door StM op dinsdag 14 februari 2012 18:35]
Met alle respect voor internet winkel logo's zoals thuiswinkel of wat dan ook.Zelfs op dit moment is de beveiliging nog een lachertje.
[...]
Verder ga ik niet zoeken want ze zullen wss happig zijn om iedereen aan te geven die ook maar iets probeert te vinden, maar wat mij betreft heeft de Thuiswinkel organisatie hier hard gefaald. Vooral met CSRF kan je genoeg ellende uithalen
Ik vind het geldverspilling en overbodig. Als je wilt weten of een winkel betrouwbaar is, zoek je dat gewoon op op het internet ...
Die logo's kun je gewoon kopen, en zeggen vrijwel niks, heeft Kassa al een keer bewezen.
En dat bewijzen ze nu zelf ook, kennelijk ...
Tja probleem is hoe kun je dat opzoeken, reviews, die men zelf plaatst misschien.
In België kun je bijv gratis kijken in de kruispunt databand zeg maar Belgische kamer van koophandel. Daar krijg je gratis jaarverslagen te zien dus je ziet of het een gezond bedrijf is, waar zit het enz.
Maar in nederland moet je voor die openbare informatie betalen.
Daarnaast hebben we privacy in een domain dus kun je niet kijken op wiens naam dat staat. Leuk als je als particulier een domain hebt maar niet als bedrijf. voor bedrijven moet dat gewoon openbare info zijn. en gebruik je particulier domein toch als bedrijf moet je daar een klacht tegen kunnen indienen.
Helaas is het in Nederland dus niet zo eenvoudig.
In België kun je bijv gratis kijken in de kruispunt databand zeg maar Belgische kamer van koophandel. Daar krijg je gratis jaarverslagen te zien dus je ziet of het een gezond bedrijf is, waar zit het enz.
Maar in nederland moet je voor die openbare informatie betalen.
Daarnaast hebben we privacy in een domain dus kun je niet kijken op wiens naam dat staat. Leuk als je als particulier een domain hebt maar niet als bedrijf. voor bedrijven moet dat gewoon openbare info zijn. en gebruik je particulier domein toch als bedrijf moet je daar een klacht tegen kunnen indienen.
Helaas is het in Nederland dus niet zo eenvoudig.
Nep shopreviews kun je ook kopen.
Nee, je mist denk ik hier even waar het om gaat.
Het gaat hier om de technische veiligheid van een site, jij hebt het over de organisatie van een site.
Dus het verschil tussen of een site hackbaar is en bv klantgegevens op straat kunnen komen te liggen en of je uberhaupt iets ontvangt na bestelling en betaling. Twee totaal verschillende dingen.
Het gaat hier om de technische veiligheid van een site, jij hebt het over de organisatie van een site.
Dus het verschil tussen of een site hackbaar is en bv klantgegevens op straat kunnen komen te liggen en of je uberhaupt iets ontvangt na bestelling en betaling. Twee totaal verschillende dingen.
Als je zo gemakkelijk aan webwinkels logo's komt zoals Kassa heeft laten zien, geef ik er geen stuiver voor.Nee, je mist denk ik hier even waar het om gaat.
[...]
Ongeacht of ze alleen naar de algemene voorwaarden kijken, of dat ze ook nog naar "hack" mogelijkheden kijken.
En wat betreft die algemene voorwaarden: niet zo lang geleden trof ik een internetwinkel logo dat een winkel "logode" en toch echt keihard de EU algemen voorwaarden schond ...
Verder kun je gewoon op de winkel en ervaringen zoeken, en valt er wel wat te vinden. En gewoon liever bij kleine winkels kopen, netzo onveilig, maar minder interessant om te hacken ... en bestaan over een aantal jaar misschien niet meer: weg gegevens
Jammer dat hier technische details missen, ik had wel een rapport willen zien van deze test. Voor de gewone consument is dit misschien afdoende, maar ik ben wel benieuwd naar de tests zelf. Blind vertrouwen ben ik niet zo van.
Wie het ook test en hoe goed ook een 100% garantie kun je volgens mij inderdaad niet geven. Maar een site moet toch op zijn minst tegen basis dingen als sql injectie kunnen.
En er zijn zat "scanners" die de meest voorkomende lekken blootleggen toch?
In ieder geval voor mijn vertrouwen in thuiswinkel.org is OPENHEID nodig, dus vertel gewoon WIE de test gedaan heeft (zal vast niet het "neefje van" zijn maar toch
) en maak inzichtelijk WAT er getest is.
[edit:]
En het kan zijn dat thuiswinkel liever niet zegt wat er gechecked is "omdat dat ideeen" zou kunnen geven aan script kiddies om andere sites aan te vallen. Maar in mijn opinie zou een standaard openbare lijst van checks een voorwaarde moeten zijn om aan te voldoen.
(Ook voor overheids sites)
En er zijn zat "scanners" die de meest voorkomende lekken blootleggen toch?
In ieder geval voor mijn vertrouwen in thuiswinkel.org is OPENHEID nodig, dus vertel gewoon WIE de test gedaan heeft (zal vast niet het "neefje van" zijn maar toch
) en maak inzichtelijk WAT er getest is.[edit:]
En het kan zijn dat thuiswinkel liever niet zegt wat er gechecked is "omdat dat ideeen" zou kunnen geven aan script kiddies om andere sites aan te vallen. Maar in mijn opinie zou een standaard openbare lijst van checks een voorwaarde moeten zijn om aan te voldoen.
(Ook voor overheids sites)
[Reactie gewijzigd door Pep7777 op dinsdag 14 februari 2012 19:51]
Dus als ze toch gehacked worden, kunnen we hen dan verantwoordelijk stellen?
En
Hoelang garanderen hun de veiligheid... tot 1 minuut na de test of voor een jaar....
En
Hoelang garanderen hun de veiligheid... tot 1 minuut na de test of voor een jaar....
Jij kan je virus-scanner fabrikant toch ook niet verantwoordelijk stellen wanneer er een virus binnendringt op je systeem?
De tooling die thuiswinkel.org gebruikt maakt waarschijnlijk ook gebruik van definities zoals je die van je virusscanner kent (HP Webinspect is zo'n tool) , bovendien kijken ze alleen naar de OWASP richtlijnen. Je loopt met zo'n tool standaard achter de feiten aan, dat is logisch. Gerichte hacks zal je met een dergelijke scan niet snel voorkomen.
- Wat heb je dan aan zo'n scan?
Je voorkomt dat scriptkiddies met niet al-te-moeilijke methoden op je site inbreken.
- Kan je een site dan wel als 'veilig' bestempelen?
Dat ligt eraan, wat is veilig?
Niks is 100% veilig.
edit: dit nieuwsbericht is natuurlijk ook een uitnodiging om babydump te gaan defacen .... zou me niks verbazen als die site vandaag of morgen op zwart gaat.
De tooling die thuiswinkel.org gebruikt maakt waarschijnlijk ook gebruik van definities zoals je die van je virusscanner kent (HP Webinspect is zo'n tool) , bovendien kijken ze alleen naar de OWASP richtlijnen. Je loopt met zo'n tool standaard achter de feiten aan, dat is logisch. Gerichte hacks zal je met een dergelijke scan niet snel voorkomen.
- Wat heb je dan aan zo'n scan?
Je voorkomt dat scriptkiddies met niet al-te-moeilijke methoden op je site inbreken.
- Kan je een site dan wel als 'veilig' bestempelen?
Dat ligt eraan, wat is veilig?
Niks is 100% veilig.
edit: dit nieuwsbericht is natuurlijk ook een uitnodiging om babydump te gaan defacen .... zou me niks verbazen als die site vandaag of morgen op zwart gaat.
[Reactie gewijzigd door Thijs_ehv op dinsdag 14 februari 2012 18:03]
Help! De graaiers van het malafide Thuiswinkel-keurmerk zien hun melkkoe ontsnappen!
Persoonlijk zou het mij meer geloofwaardigheid geven als een onafhankelijk bureau transparant onderzoek doet.
Persoonlijk zou het mij meer geloofwaardigheid geven als een onafhankelijk bureau transparant onderzoek doet.
Scherpe opmerking. Thuiswinkel.org kan voor mij geen geloofwaardig goed onderzoek doen.
Ten eerste komt dit omdat zij geld ontvangen van hun leden, dus willen ze hun leden niet kwijtraken. Ze zullen eventuele gebreken dus onder de tafel doorschuiven (misschien wel fixen, maar ze zijn echt niet eerlijk).
Ten tweede kan Thuiswinkel.org dit onderzoek zelf niet doen, zij hebben een externe partij nodig die dit kan. Aangezien dit alleen maar geldverspilling is (goed onderzoek is duur) voor Thuiswinkel.org denk ik ook niet dat ze met de beste speler in de markt samenwerken. Dit is meer een schijnoplossing om het imago niet te schaden.
Ten eerste komt dit omdat zij geld ontvangen van hun leden, dus willen ze hun leden niet kwijtraken. Ze zullen eventuele gebreken dus onder de tafel doorschuiven (misschien wel fixen, maar ze zijn echt niet eerlijk).
Ten tweede kan Thuiswinkel.org dit onderzoek zelf niet doen, zij hebben een externe partij nodig die dit kan. Aangezien dit alleen maar geldverspilling is (goed onderzoek is duur) voor Thuiswinkel.org denk ik ook niet dat ze met de beste speler in de markt samenwerken. Dit is meer een schijnoplossing om het imago niet te schaden.
"Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken."
Of webshop houders gaan eens hun verantwoordelijkheid nemen om de gegevens van zijn klanten te beschermen in plaats van de overheid bij het probleem te betrekken. Enige juiste manier om de overheid hierbij te betrekken is om nalaters te bestraffen.
Of webshop houders gaan eens hun verantwoordelijkheid nemen om de gegevens van zijn klanten te beschermen in plaats van de overheid bij het probleem te betrekken. Enige juiste manier om de overheid hierbij te betrekken is om nalaters te bestraffen.
Babydump.nl betreurt de hack en biedt excuses aan, van pastebin.com:
Maar hopelijk komt het CBP in actie.
http://www.nu.nl/internet...liging-klantgegevens.html
Ja, lekker makkelijk als je hier mee weg komt.Geachte klant,
Zoals u uit het nieuws zult hebben vernomen, is een bestand met namen van onze klanten op het internet gepubliceerd. In dat bestand staan helaas ook gebruikersnamen en wachtwoorden.
Toen dit nieuws ons bereikte hebben wij direct uw wachtwoord in onze bestanden verwijderd, maar misschien heeft u dat wachtwoord in combinatie met uw gebruikersnaam (vaak uw e-mail adres) ook op andere plekken gebruikt, bijvoorbeeld bij andere webwinkels, op facebook, Hyves, Marktplaats.
Ter voorkoming van misbruik adviseren wij u om dit meteen te wijzigen.
Wij betreuren het dat dit heeft kunnen gebeuren en bieden u onze excuses aan voor het ongemak.
Met vriendelijke groet,
Baby-Dump BV
Maar hopelijk komt het CBP in actie.
http://www.nu.nl/internet...liging-klantgegevens.html
Keurmerken...ik hoop dat er een keer een einde komt aan die valse veiligheid. Typisch iets voor Nederland, waarin we hebben geleerd dat er altijd een instantie moet zijn die iets garandeert dat helemaal niet te garanderen valt. Hoe werkt dat? Ik snap er geen bal van.
We zien keer op keer dat dit soort dingen falen, maar ondertussen staan we toe - nee, we eisen - dat ze ingesteld worden. Het drijft alleen maar de prijs op, want iedere organisatie moet weer lid worden, en ondertussen betekent het niets. Wéér een geld verslindende organisatie die de brave burger in slaap moet sussen.
We zien keer op keer dat dit soort dingen falen, maar ondertussen staan we toe - nee, we eisen - dat ze ingesteld worden. Het drijft alleen maar de prijs op, want iedere organisatie moet weer lid worden, en ondertussen betekent het niets. Wéér een geld verslindende organisatie die de brave burger in slaap moet sussen.
Ik wacht op de eerste die Thuiswinkel.org aansprakelijk stelt voor de schijnveiligheid die zij biedt met haar keurmerk. Ik quote mijn vorige post nog maar even.
Uit dit bericht:Deze veiligheidsscan had maanden geleden al uitgevoerd moeten worden getuige het eerdere bericht over Thuiswinkel.org, wat blijkbaar ook maar alles doet om in de publiciteit te komen. Er moet elke keer iets gebeuren voordat deze organisatie actie onderneemt. In dit bericht zeiden ze ook al beter te gaan letten op de beveiliging van websites van haar leden: nieuws: Thuiswinkel.org wil webwinkels laten testen op lekken. Voor wat betreft beveiliging van websites is Thuiswinkel.org volslagen ongeloofwaardig en neemt ons consumenten in de maling. Wat mij betreft is naast Baby Dump ook Thuiswinkel.org aansprakelijk. Want wat claimt Thuiswinkel.org met haar keurmerk bewerk te stellen en voor jou als consument te waarborgen?
quote:
- 3 Bescherming persoonlijke gegevens
http://www.thuiswinkel.org/leden-thuiswinkel-waarborg
Je hoeft echt geen Einstein te zijn om de beveiliging van een webwinkel goed op orde te brengen. Het pleiten voor deze samenwerking slaat nergens op en klinkt alleen maar weer als een zin die een promotioneel doeleinde dient. Kijk ons Thuiswinkel.org eens druk bezig zijn met de veiligheid van webwinkels. Webwinkels moeten hun beveiliging goed op orde hebben, hiervoor kunnen zij prima een externe partij inschakelen. Thuiswinkel.org moet op haar beurt zorgen voor periodieke en gedegen beveiligingstesten om hun claim van het keurmerk te kunnen waarborgen.Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken.
Nee Jongen, als jij een keurmerk uitdeelt dat de 'bescherming persoonlijke gegevens' waarborgt ben ook jij (Thuiswinkel.org) verantwoordelijk.Jongen benadrukt wel dat webwinkels zelf verantwoordelijk zijn voor een solide beveiliging van persoonsgegevens in hun systemen.
[Reactie gewijzigd door ChicaneBT op dinsdag 14 februari 2012 18:22]
Met die 'samenwerking' bedoelt de belangenorganisatie dat zij willen dat andere partijen zoveel mogelijk de beveiliging in handen nemen, zodat het de webwinkeliers zo min mogelijk kost. Vergelijk het met een club winkeliers in een winkelcentrum die graag een politieagent bij de deur hebben staan.
Uiteindelijk moeten de individuele leden zelf betalen voor de beveiliging van hun eigen webwinkel. Dat gaat de belangenclub niet doen, want dan betaald elk lid mee aan de beveiliging van de concurrent.
De belangenclub zorgt er niet actief voor dat de leden zich aan de regels houden. Als in de publiciteit komt dat een aangesloten webwinkel zich niet aan de regels houdt, wordt deze in uitzonderlijke gevallen alsnog het lidmaatschap afgenomen.
Uiteindelijk moeten de individuele leden zelf betalen voor de beveiliging van hun eigen webwinkel. Dat gaat de belangenclub niet doen, want dan betaald elk lid mee aan de beveiliging van de concurrent.
De belangenclub zorgt er niet actief voor dat de leden zich aan de regels houden. Als in de publiciteit komt dat een aangesloten webwinkel zich niet aan de regels houdt, wordt deze in uitzonderlijke gevallen alsnog het lidmaatschap afgenomen.
Zolang je voor een waarborg alleen een invul oefening hoeft te doen en ieder jaar een bedrag moet storten is dit voor mij echt niet geloofwaardig.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
