Thuiswinkel.org voert veiligheidsscan uit op webwinkel Baby Dump

Thuiswinkel.org gaat zondag de beveiliging van de webwinkel Baby-dump.nl testen. Aanleiding is de publicatie van inloggegevens die in eerste instantie afkomstig leken van KPN-klanten, maar mogelijk buit zijn gemaakt uit de database van Baby Dump.

Het onderzoek naar de beveiliging van Baby-dump.nl wordt in opdracht van Thuiswinkel.org zondag uitgevoerd door een externe partij. Tijdens de veiligheidsscan worden diverse aspecten van de beveiliging van de webwinkel onder de loep genomen. De uitslag van het beveiligingsonderzoek zal naar verwachting nog zondag bekend worden, zo meldt Omroep Brabant.

Het initiatief tot de veiligheiddscan is volgens Thuiswinkel.org-directeur Wijnand Jongen afkomstig vanuit de brancheorganisatie, maar de eigenaar van Baby Dump zou meewerken aan het onderzoek. Jongen stelt dat Baby-dump.nl geschorst zal worden als blijkt dat de site onveilig is. Ook mag de webwinkel dan niet langer het logo voeren van Thuiswinkel.org. Volgens de directeur van de brancheorganisatie geeft het Thuiswinkel.org-logo immers aan dat een site veilig door de consument is te gebruiken.

De website van Baby Dump bleek in 2011 lekken te vertonen nadat een 17-jarige student een groot aantal webwinkels met een Thuiswinkel.org-certificaat controleerde. Vermoedelijk zijn de persoonsgegevens die vorige week door hackers zijn gepubliceerd, afkomstig uit de database van Baby-dump.nl. In eerste instantie leken de KPN-klantgegevens te zijn buitgemaakt van een gehackte KPN-server, maar dit lijkt nu niet langer waarschijnlijk. Zo zouden de velden in de gepubliceerde gegevens overeenkomen met de opbouw van het registratieformulier van Baby-dump.nl.

IT-banen

Reacties (59)

Anoniem: 16328 12 februari 2012 14:12

Deze veiligheidsscan had maanden geleden al uitgevoerd moeten worden getuige het eerdere bericht over Thuiswinkel.org, wat blijkbaar ook maar alles doet om in de publiciteit te komen. Er moet elke keer iets gebeuren voordat deze organisatie actie onderneemt. In dit bericht zeiden ze ook al beter te gaan letten op de beveiliging van websites van haar leden: nieuws: Thuiswinkel.org wil webwinkels laten testen op lekken. Voor wat betreft beveiliging van websites is Thuiswinkel.org volslagen ongeloofwaardig en neemt ons consumenten in de maling. Wat mij betreft is naast Baby Dump ook Thuiswinkel.org aansprakelijk. Want wat claimt Thuiswinkel.org met haar keurmerk bewerk te stellen en voor jou als consument te waarborgen?

- 3 Bescherming persoonlijke gegevens
_{http://www.thuiswinkel.org/leden-thuiswinkel-waarborg}

Drogo 12 februari 2012 12:27

Enigszins zwakke poging om de reputatie van je keurmerk veilig te stellen.

Roland684 @Drogo • 12 februari 2012 12:36

Als de babyDump-webwinkel lek blijkt te zijn, zou niet de webwinkel, maar het hele keurmerk geschorst moeten worden.

... geeft het Thuiswinkel.org-logo immers aan dat een site veilig door de consument is te gebruiken.

is dan namelijk niet waar.
En eigenlijk zou iemand (is er geen keurmerk voor keurmerken?) nu een onderzoek moeten starten, want blijkbaar geeft thuiswinkel.org keurmerken af zonder daadwerkelijk te controleren.

34749 @Roland684 • 12 februari 2012 12:54

Thuiswinkelwaarborg is zowiezo een papieren tijger. Om lid te worden van de club moet je een percentage van je omzet aan ze afdragen.

Ik heb ooit een hele correspondentie (puur uit intresse) met hun gevoerd nadat een van hun leden aangaf dat ik extra service moest kopen om een product wat deze partij mij verkocht had terug te nemen binnen de 6 maanden garantie termijn (anders moest ik zelf maar naar de fabrikant gaan). Dit heb ik opgenomen met de Consumenten authoriteit welke meteen aangaven dat dit niet mocht. Dit heb ik toen ook aangegeven aan thuiswinkel waarborg die vol bleven houden dat dit wel mocht; Ondanks dat de consumenten authoriteit dus aangaf dat dit niet mocht. Daarnaast ook aangegeven aan de Consumenten Authoriteit dat zij op hun site verwijzen naar thuiswinkel waarborg welke dus kennelijk zich niet aan hun regels houd; Ook niks mee gebeurt...

Als er geintereseerde zijn wil ik de E-Mail correspondentie welleens opzoeken en online zetten.

edit: typo.

[Reactie gewijzigd door 34749 op 25 juli 2024 21:33]

Sgreehder @34749 • 12 februari 2012 13:14

Consumenten Authoriteit

Dat moet je inderdaad eens uitleggen.

34749 @Sgreehder • 12 februari 2012 13:26

[Consumenten Authoriteit]

Dat moet je inderdaad eens uitleggen.

Ik snap even niet helemaal wat je bedoelt. Wat heeft er extra toelichting nodig ?

Anoniem: 426269 @34749 • 12 februari 2012 18:16

Of je die correspondentie online wilt zetten zoals je zei, denk ik.

34749 @Anoniem: 426269 • 12 februari 2012 20:23

Onderstaand de laatste 3 mails uit de correspondentie. Eerdere mails wil ik ook best online zetten maar deze voegen niet heel veel toe. Om de onschuldige en schuldige te beschermen heb ik de namen van personen en ketens uit de correspondentie weggehaald. Het gaat er namelijk om dat Stichting thuiswinkel waarborg als slotsom geeft dat het OK is voor een webwinkel om klanten naar te fabrikant door te sturen voor fabrieksgarantie ipv dat je deze zelf afhandeld. Dit is iets wat dus niet mag.

Mail vanuit mij:

Goedeavond <<THUISWINKEL PERSOON X>>,

Het is inderdaad niet verboden om extra garantie te verkopen, mits deze iets toevoegd. Het is dus wel verboden om een garantie uitbreiding te verkopen van 1 jaar naar 3 jaar fabrieksgarantie. Aangezien de klant dit recht van nature al heeft. In het geval van <<WEBWINKEL IN KWESTIE>> is deze toevoeging het halen en brengen.

Echter de tekst die bij 'standaard garantie' op <<WEBWINKEL IN KWESTIE>> staat: "In geval van garantieproblemen verlenen wij u, indien nodig, ondersteuning in uw contact met de fabrikant" is sterk misleidend naar mijn idee. Deze kan je namelijk niet anders lezen dan dat de extra garantie nodig is om bijvoorbeeld na een jaar je defecte product terug te mogen sturen naar hardware.nl. Wat dus niet het geval is.

mvg,

<<JUDGExKTF>>

Mail vanuit Thuiswinkelwaarborg:

Goedemorgen <<JUDGExKTF>>,

Bedankt voor je reactie.

Ik zal dit volgende week intern bespreken.

Met vriendelijke groet,

<<THUISWINKEL PERSOON X>>

namens

<<THUISWINKEL JURIST>>

jurist Nederlandse Thuiswinkel Organisatie
e-mail: <<CENSORED>>
Nederlandse Thuiswinkel Organisatie

Mail vanuit Thuiswinkelwaarborg:

Goedemorgen <<JUDGExKTF>>,

Bedankt voor je bericht.

We hebben onze certificeringpartner naar de teksten op de website laten kijken en zij hebben alles wederom goed gekeurd. Zij voeren ook ieder jaar alle tests uit van de websites van al onze leden en checken dit op al het juridische op de website. Van hen heb ik te horen gekregen dat zo mag.

Ze doelen daar namelijk op de fabrieksgarantie die op de producten zit. En de fabrieksgarantie is een verbintenis tussen de garantieverlener en de consument. En de fabriek is in dit geval de garantieverlener.

Met vriendelijke groet,

<<THUISWINKEL PERSOON X>>

namens

<<THUISWINKEL JURIST>>

Edit: Typo's.

[Reactie gewijzigd door 34749 op 25 juli 2024 21:33]

Anoniem: 426269 @34749 • 13 februari 2012 12:25

Dat lijkt me zeker niet het schrijven van een jurist. Je ziet meteen al dat dit een hobbygehalte heeft aan de stijl van schrijven en alle spelfouten.

BDHowner @Roland684 • 12 februari 2012 13:03

Die is er op zich wel: http://www.consuwijzer.nl/Keurmerken.

Thuiswinkel.org staat er ook vrolijk tussen

Sorcerer8472 @Roland684 • 12 februari 2012 12:41

Beter nog, het keurmerk controleerde vroeger ook nooit. En nu wel, nu ze nog niet eens mee begonnen zijn, met het volop testen?

dasiro @Roland684 • 12 februari 2012 12:57

is er geen keurmerk voor keurmerken?

nee, en dat is juist het perverse aan heel de zaak: als ik controleer of je cookies worden verwijderd als je sessie expired en dat is zo op een site, kan ik jou een keurmerk geven: 100% veilig gecontroleerd en geverifieerd door dasiro internet&website security.

dat die 100% enkel slaat op het percentage van mijn testen (1) waarop je geslaagd bent, hoeven klanten niet te weten, want jij hebt toch lekker je keurmerk beet waar je mee kan pronken.

style2k 12 februari 2012 12:35

snap niet hoe dit uberhaubt kan gebueren ..
uiteindelijk is de site zelf verantwoordelijk voor zijn eigen veiligheid .
thuiswinkel is , hoewel het logo zou moeten staan voor een veilige winkel , ook niet aansprakelijk voor veiligheid van een webwinkel .
daarbij snap ik niet dat alleen gegevens van kpn klanten in een database van babydump kunnen komen ..
ik neem aan dat ook niet kpn klanten zich op die site registreren ??
blijf het beetje vaag verhaal vinden allemaal //

BDHowner @style2k • 12 februari 2012 13:09

Nee hoor is helemaal niet moeilijk:

Baby Dump is gehacked, en er zijn bijv. 10k gegevens buitgemaakt. KPN komt slecht in het nieuws en zo'n hacker heeft misschien een hekel aan KPN. Jij filtert als hacker alle @kpnmail.nl adressen en gooit ze in een lijst (wellicht even checken of je met de gegevens kan inloggen). Vervolgens "presenteer" je deze gegevens (ruim 500 in dit geval) als van KPN-servers afkomstig, waardoor je bij KPN een schrikreactie veroorzaakt (de mailservers worden uitgeslingerd), en ellende voor 2m Nederlanders met een KPN-mailbox veroorzaakt.

Bijzonder lastige grap voor KPN.

[Reactie gewijzigd door BDHowner op 25 juli 2024 21:33]

Asteryz @BDHowner • 13 februari 2012 00:06

KPN had een slecht protocol liggen, mijn insziens hadden ze die gegevens moeten checken voordat er verdere actie ondernomen werd. Nu gooiden ze de mailservers totaal onnodig plat.

Ga bijwijze van spreken de lijst van boven naar beneden af en als een bepaald percentage van de gebruikersnaam-wachtwoord combinaties voorkomt, dat je dan pas de servers uitzet. Dan heb je na 10 minuten een goede indicatie of de servers uit moeten. Maar in dit geval was (hopelijk) gebleken dat vrijwel geen van de wachtwoorden overeenkomt.

comecme @style2k • 12 februari 2012 13:06

Er hebben zich wel andere klanten geregistreerd, maar alleen de gegevens van klanten met een kpn mailadres zijn op pastebin geplaatst.

Clubbtraxx

12 februari 2012 14:32

"In eerste instantie leken de KPN-klantgegevens te zijn buitgemaakt van een gehackte KPN-server, maar dit lijkt nu niet langer waarschijnlijk. Zo zouden de velden in de gepubliceerde gegevens overeenkomen met de opbouw van het registratieformulier van Baby-dump.nl"

Ja want die volgorde zegt echt een hele hoop, het is enorm toevallig dat er precies n.a.w. telefoonnummer, email en password in staat....

Deze gegevens kom je in andere klanten bestanden echt niet zo tegen

Andrejan @Clubbtraxx • 12 februari 2012 15:36

Wat dan wel weer opvalt is dat er van de 537 mensen op de lijst 3 het wachtwoord "babydump" gebruiken, en een aantal anderen hebben wachtwoorden als "autostoel", "baby", "babybad", "babyfoon" en "regenhoes". Zouden dat echt willekeurige kpn-klanten zijn die niets met Baby-dump te maken hebben?
Bovendien heeft nu.nl het hele bestand van 134.000 klantgegevens geanalyseerd, en ze vermoedden dat deze afkomstig waren van Baby-dump. Dit is voorgelegd aan Baby-dump, die bevestigt dat de gegevens van hen afkomstig zijn (bron: http://www.nu.nl/internet...egevens-niet-van-kpn.html).

mae-t.net @Clubbtraxx • 12 februari 2012 16:02

Ik neem aan dat jij de daadwerkelijke bestanden ook vergeleken hebt teneinde die uitspraak te doen? Anders sla je er maar een slag naar, dat is ook niet handig.

Als er inderdaad sterke overeenkomsten zijn, dan zal dat met een redelijke kans niet zijn omdat iedereen ongeveer dezelfde gegevens registreert, maar omdat dezelfde bouwer en/of templates bij de andere shops betrokken zijn.

thegve 12 februari 2012 12:27

Dit zal je als bedrijf maar overkomen. Heeft KPN wel een paar dagen bijzonder negatieve publiciteit gehad.
In dit geval vind ik het vooral vreemd dat er een combinatie van adres en inloggevens is gevonden. KPN levert allerlei verschillende diensten, en de platforms waar ingebroken lijken te zijn zouden mijn inziens niets hebben aan het adres en rekeningnummer van een klant.
Dit verklaart direct de reactie van KPN die toen als "arrogant" werd bestempeld.

swtimmer @thegve • 12 februari 2012 16:07

KPN is nog steeds gehackt maar de hackers geven aan dat hun niet de source zijn van het publiceren van deze inlog gegevens.

thegve @swtimmer • 12 februari 2012 21:25

Zie ook mijn reactie bij een andere post

thegve in 'nieuws: KPN: e-mailaccounts worden zaterdag weer toegankelijk - update' , maar komt erop neer dat het enige dat bewezen gehacked is, een speedtest servertje op het World Access domein. De rest is alleen geruchten van een bluffend (want ze bluften ook al dat ze miljoenen KPN accounts hadden gehacked) hackertje.

masterbas 12 februari 2012 12:36

Mosterd na de maaltijd is het zeker, maar bij bedrijven en webshops is het investeren in de online beveiliging nog steeds ver te zoeken door verouderde software.
Het gaat toch echt eens tijd worden dat bedrijven en webshop daar meer aandacht en geld aan gaan spenderen zekers in deze tijden blijft een goede beveiliging belangrijk.
Ik begrijp heus wel dat 100% niet bestaat, maar als je je best doet en alles up-to-date hebt is het wel moeilijk voor hackers en alleen de 'echte' diehard hacker zal dan door blijven gaan en niet diegene die gebruik maken van oude middelen.

ps. hoop dat mijn gegevens daar niet zijn opgehaald

Voutloos @masterbas • 12 februari 2012 13:03

ps. hoop dat mijn gegevens daar niet zijn opgehaald
Nee, jouw data is veilig. Enkel de data van alle andere klanten is gelekt.

[/sarcasme]

Wellicht verstandig om een rondje password changes te doen.

q-enf0rcer.1 12 februari 2012 12:46

Thuiswinkel.org neem ik niet serieus, dit brengt hier zeker geen verandering in. Het is veel te makkelijk om dat keurmerk op je site te krijgen. En nu proberen ze hun eigen hachje te redden door 2 jaar na het hacken nog even de site te controleren.

HoppyF @q-enf0rcer.1 • 12 februari 2012 13:16

Het gaat er niet om of jij een keurmerk als Thuiswinkel.org serieus neemt. Er is een onafhankelijke Consumentenautoriteit die toeziet op keurmerken zoals Thuiswinkel.org maar ook vele andere keurmerken.
Zie ook http://www.consuwijzer.nl/Keurmerken en veelgestelde vragen over keurmerken.

psyBSD @HoppyF • 13 februari 2012 10:12

Wat je daar ook kunt zien:

Het Thuiswinkel Waarborg is het Nederlandse keurmerk voor bedrijven die producten en/of diensten verkopen via internet, catalogi, post, enz. aan consumenten. Als consument kunt u ervan op aan dat deze bedrijven zich houden aan relevante wet- en regelgeving en aan de Gedragsregels Thuiswinkel Waarborg van de vereniging Nederlandse Thuiswinkel Organisatie, kortweg Thuiswinkel.org

Iets kopen bij een lid van Thuiswinkel.org betekent:
Weten met wie u zaken doet
Algemene voorwaarden Thuiswinkel overeengekomen met de Consumentenbond
Onafhankelijke klachten- en geschillenbemiddeling
Verplichte onafhankelijke jaarlijkse certificering

Er staat dus nergens dat het uitvoeren van een security audit tot de vereisten behoort.

Uit het keuringsrapport:

C2.11a
Eis
De keurmerkverlener brengt het
keurmerk deugdelijk aan.
Uitkomst van de beoordeling
Niet van toepassing (lidmaatschap van de vereniging houdt het
recht op keurmerkgebruik in, C2.11b).

C2.11b bestaat uit 13 subs waarvan er 12 gaan over het correct voeren van het keurmerk. De eisen hiervoor worden beschreven in C2.11b1 die zegt:

Eis
De machtiging tot het gebruik van
het keurmerk door een
keurmerkvoerder en de
voorschriften voor het gebruik
moeten contractueel tussen de
keurmerkverlener en iedere
keurmerkvoerder vastgelegd zijn.

Uitkomst van de beoordeling
Het bedrijf wordt lid van de Nederlandse Thuiswinkel Organisatie
en onderschrijft daarmee de gedragsregels van de vereniging,
waaronder het Reglement Gebruik Logo’s.

Het thuiswinkel waarborg houdt dus eigenlijk in:

Als je lid wordt van de vereniging moet je lidmaatschapsgeld betalen, de gedragsregels ondertekenen en ingeschreven staan bij het College Bescherming Persoonsgegevens (als dit van belang is).

Dit laatste is niet altijd nodig wanneer het om debiteuren/crediteuren-administratie gaat.
Bron: http://www.cbpweb.nl/HvB_website_1.0/vwc10.htm

M.a.w. het thuiswinkelwaarborg borgt alleen maar dat je ergens anders kunt klagen als je er met het bedrijf zelf niet uitkomt. En zelfs dat is twijfelachtig omdat de belangenstructuur niet helemaal duidelijk is. (Het thuiswinkelwaarborg is immers afhankelijk van zijn leden voor zijn voortbestaan)

In het regelement van thuiswinkelwaarborg wordt met geen woord gerept over security.
Bron: http://www.thuiswinkel.org/leden-thuiswinkel-waarborg (onderaan de pagina, statuten en regelementen)

bruij025 12 februari 2012 13:06

Mijn grootste vraag is waarom Baby Dump de wachtwoorden van zijn klanten onversleuteld in een database zet.

Overigens staat dit op de website van Baby Dump:

Baby-Dump verzamelt persoonlijke informatie (zoals naam, adres, telefoonnummer, e-mailadres) in het kader van de registratie op de Webshop of bij het intekenen op al dan niet commerciële acties.

Je hebt recht op inzage en verbetering van je gegevens. Vragen om inzage in je gegevens of klachten over privacy richt je aan Baby-Dump BV, postbus 250, 5680 AG, Best.

Ik zou daar nu even niet graag hoofd IT zijn.