Thuiswinkel.org: website Baby Dump is veilig

De webwinkel Baby-dump.nl is na een veiligheidsscan veilig bevonden. Dat meldt brancheorganisatie Thuiswinkel.org. Naar aanleiding van dit resultaat zal het Thuiswinkel-keurmerk dan ook niet worden afgenomen van de webwinkel.

De veiligheidsscan is uitgevoerd nadat vorige week inloggegevens zijn gepubliceerd die in eerste instantie buitgemaakt zouden zijn bij een inbraak bij KPN, maar uiteindelijk afkomstig bleken van de database van Baby Dump. Deze persoonsgegevens zouden in 2011 zijn buitgemaakt. Thuiswinkel.org besloot zondag in overleg met de eigenaar van Baby-dump.nl om de webwinkel te laten controleren op kwetsbaarheden.

De brancheorganisatie stelt dat een niet nader genoemd bedrijf de veiligheidsscans op Baby-dump.nl heeft uitgevoerd. De gebruikte vulnerability scanners zouden gebaseerd zijn op de Owasp Top 10, een organisatie die lijsten vaststelt met de belangrijkste kwetsbare punten van websites en de achterliggende databases.

Uit de resultaten van de veiligheidsscan zou inmiddels zijn gebleken dat de website van Baby Dump veilig is, al benadrukt Thuiswinkel.org dat het gaat om een momentopname. De brancheorganisatie ziet in elk geval geen reden om het keurmerk af te nemen en Baby-dump.nl te schorsen.

Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken. Directeur Wijnand Jongen stelt dat 'ethische hackers' hun kunsten beter commercieel kunnen aanbieden of dat ze beter 'hun rol pakken in de samenleving'. Een rechter zou moeten oordelen of een hacker al dan niet strafbaar heeft gehandeld. Jongen benadrukt wel dat webwinkels zelf verantwoordelijk zijn voor een solide beveiliging van persoonsgegevens in hun systemen.

IT-banen

Reacties (51)

Bender 14 februari 2012 23:37

Veelal wordt er toegang gekregen tot een database via een alternatieve manier, dus niet via de website zelf.
Thuiswinkel.org kan wel kijken voor de standaard xss lekjes maar dat heeft natuurlijk geen enkele zin gezien dat een enkele manier is.

http://www.baby-dump.nl/phpmyadmin/
Dit soort dingen maakt het natuurlijk wel heel makkelijk om nog een keer de database leeg te vissen.

Franckey 14 februari 2012 22:49

Wat mij betreft zou het wettelijk verboden moeten worden om passwords van klanten (al dan niet geencrypt) op te slaan. Dat is namelijk helemaal niet nodig voor authenticatie.

Beste practice is om een hash code te bepalen op basis van de combinatie van user name + password + salt (een constante) en deze hash code op te slaan i.p.v. het password.

Als je de credentials van een user wilt verifiëren bereken je opnieuw de hash code, die je dan vergelijkt met de opgeslagen hash code. Met een dergelijke zogenoemde "one way encryption" is het oorspronkelijke password nooit te achterhalen.

WhiteDog @Franckey • 14 februari 2012 23:45

Gedeeltelijk akkoord, alleen is het beter om een nieuwe salt aan te maken elke keer je inlogt. Dan krijg je:

rs = random_salt
x = hash(username + password + rs)
hash_in_database = x + rs

Logt een gebruiker in, dan trek je hash_in_database weer uit elkaar (x en rs zijn bv. elk 64 tekens) en kun je zo de boel verifiëren. Klopt het plaatje dan genereer je een nieuwe salt en overschrijf je de hash_in_database.

Optioneel kan je de hash_in_database en/of salt nog x aantal keer rehashen.
Als hash algoritme gebruik je dan een traag (cpu intensief) algoritme.

Als iemand database + source code kan bemachtigen blijft het nog steeds mogelijk om dit te reverse-engineeren. Alleen zal de hacker dan zelf nieuwe ranbow tables moeten genereren wat een pak langer zal duren.

Als iemand het niet me me eens is / betere methodes kent: please share!

[Reactie gewijzigd door WhiteDog op 24 juli 2024 08:08]

chocopasta @WhiteDog • 15 februari 2012 07:40

Klink als een relatief veilige oplossing hoewel ik denk dat het gebruik van constante een complexe lange salt per user ook al aardig wat veiligheid bied. Maar thx for sharing!!

Verder begrijp ik niet wat je bedoeld met "trek je de hash weer uit elkaar". Het uit elkaar trekken van een hash is simpelweg niet mogelijk. Hoe het werkt: de server genereert een nieuwe hash opbasis van de aangeboden gegevens (in jou voorbeeld: salt + username + password) en vergelijkt deze hash met de hash in de database van de webserver. Als deze twee overeen komen dat zijn de gegevens correct. Mogelijk bedoelde je dit ook maar wordt het iets anders verwoord in je post.

WhiteDog @chocopasta • 15 februari 2012 09:36

hash_in_database = x + rs (bv. abcd + 1234 => abcd1234)
Stel dat beide hashes 64 karakters lang zijn.
In de database staat in het paswoordveld dan een string van 128 karakters. Niemand die weet (zonder je source code) dat de salt begint bij karakter 65.

ik bedoel simpelweg dat je de hash_in_database (abcd1234) 2 splitst om weer de x (abcd) en rs (1234) waarden te bekomen

Het komt er gewoon op neer iets verschillend te doen voor je eigen site zodat er geen kant en klare rainbow tables gebruikt kunnen worden. Het is extreem tijdrovend om dan te achterhalen (reverse engineeren) hoe je hash is opgebouwd.

Hangt er natuurlijk ook vanaf hoeveel je data waard is en hoeveel tijd (geld) men wil steken om de paswoorden te achterhalen.

pim @Franckey • 15 februari 2012 07:38

Wat mij betreft zou het wettelijk verboden moeten worden om passwords van klanten (al dan niet geencrypt) op te slaan.

Het is aan gebruikers om te beseffen dat ze overal verschillende wachtwoorden moeten gebruiken.

Ewald ! 14 februari 2012 17:56

Help! De graaiers van het malafide Thuiswinkel-keurmerk zien hun melkkoe ontsnappen!

Persoonlijk zou het mij meer geloofwaardigheid geven als een onafhankelijk bureau transparant onderzoek doet.

Aloys @Ewald ! • 14 februari 2012 18:02

Scherpe opmerking. Thuiswinkel.org kan voor mij geen geloofwaardig goed onderzoek doen.

Ten eerste komt dit omdat zij geld ontvangen van hun leden, dus willen ze hun leden niet kwijtraken. Ze zullen eventuele gebreken dus onder de tafel doorschuiven (misschien wel fixen, maar ze zijn echt niet eerlijk).

Ten tweede kan Thuiswinkel.org dit onderzoek zelf niet doen, zij hebben een externe partij nodig die dit kan. Aangezien dit alleen maar geldverspilling is (goed onderzoek is duur) voor Thuiswinkel.org denk ik ook niet dat ze met de beste speler in de markt samenwerken. Dit is meer een schijnoplossing om het imago niet te schaden.

Webdoc 14 februari 2012 17:43

Nu maar hopen dat dit daadwerkelijk zo is... als er straks hax0r kiddies aan de slag gaan en alsnog zwakheden vinden dan is dat Thuiswinkel keurmerk ook niet meer zo veel waard... althans niet voor security.

bbob

Internet
Privacy
Nederland
Netwerk en systeembeheer

@Webdoc • 14 februari 2012 18:18

Ze schrijven zelf beveiliging is een momentopname, morgen kan het dus al weer fout zijn.

De vraag is hoe vaak wordt een website op kwetsbaarheden getest en kun je er iets tegen doen. Een niet ontdekte kwetsbaarheid kan al misbruikt worden en eentje die ontdekt is moet je dan meteen updaten hetgeen in de praktijk eerder weken of maanden zal duren.

Het keurmerk is dus een momentopname en zegt dus onder de streek gewoon helemaal niet. Het is een wassen neus.

Als thuiswinkel bij de overheid iets wil bepleiten kunnen ze beter bepleiten dat er richtlijnen komen voor het uitgeven van een keurmerk en dat er ook controle plaatsvindt op keurmerken. Maar ja als men dat doet zal waarschijnlijk blijken dat de meeste keurmerken niet voorstellen.

StM @bbob • 14 februari 2012 18:34

Zelfs op dit moment is de beveiliging nog een lachertje.

- XSS 'voorkomt' men met een 'filter' die gewoon alles naar de frontpage redirect als er een <, >, " etc in de url voorkomt. Dat je bv als iets in een event zit of een onderdeel van een tag je die tekens niet nodig heeft om wat te injecten weet men zeker niet?
- CSRF is nog nog gewoon mogelijk (OWASP nr 5)

Verder ga ik niet zoeken want ze zullen wss happig zijn om iedereen aan te geven die ook maar iets probeert te vinden, maar wat mij betreft heeft de Thuiswinkel organisatie hier hard gefaald. Vooral met CSRF kan je genoeg ellende uithalen

[Reactie gewijzigd door StM op 24 juli 2024 08:08]

Xubby @StM • 14 februari 2012 20:27

Zelfs op dit moment is de beveiliging nog een lachertje.
[...]
Verder ga ik niet zoeken want ze zullen wss happig zijn om iedereen aan te geven die ook maar iets probeert te vinden, maar wat mij betreft heeft de Thuiswinkel organisatie hier hard gefaald. Vooral met CSRF kan je genoeg ellende uithalen

Met alle respect voor internet winkel logo's zoals thuiswinkel of wat dan ook.
Ik vind het geldverspilling en overbodig. Als je wilt weten of een winkel betrouwbaar is, zoek je dat gewoon op op het internet ...
Die logo's kun je gewoon kopen, en zeggen vrijwel niks, heeft Kassa al een keer bewezen.
En dat bewijzen ze nu zelf ook, kennelijk ...

bbob

Internet
Privacy
Nederland
Netwerk en systeembeheer

@Xubby • 14 februari 2012 22:30

Tja probleem is hoe kun je dat opzoeken, reviews, die men zelf plaatst misschien.

In België kun je bijv gratis kijken in de kruispunt databand zeg maar Belgische kamer van koophandel. Daar krijg je gratis jaarverslagen te zien dus je ziet of het een gezond bedrijf is, waar zit het enz.

Maar in nederland moet je voor die openbare informatie betalen.
Daarnaast hebben we privacy in een domain dus kun je niet kijken op wiens naam dat staat. Leuk als je als particulier een domain hebt maar niet als bedrijf. voor bedrijven moet dat gewoon openbare info zijn. en gebruik je particulier domein toch als bedrijf moet je daar een klacht tegen kunnen indienen.

Helaas is het in Nederland dus niet zo eenvoudig.

BlackOwl @Xubby • 14 februari 2012 22:37

Nep shopreviews kun je ook kopen.

cprompt @Xubby • 15 februari 2012 09:35

Nee, je mist denk ik hier even waar het om gaat.

Het gaat hier om de technische veiligheid van een site, jij hebt het over de organisatie van een site.
Dus het verschil tussen of een site hackbaar is en bv klantgegevens op straat kunnen komen te liggen en of je uberhaupt iets ontvangt na bestelling en betaling. Twee totaal verschillende dingen.

Xubby @cprompt • 15 februari 2012 09:48

Nee, je mist denk ik hier even waar het om gaat.
[...]

Als je zo gemakkelijk aan webwinkels logo's komt zoals Kassa heeft laten zien, geef ik er geen stuiver voor.
Ongeacht of ze alleen naar de algemene voorwaarden kijken, of dat ze ook nog naar "hack" mogelijkheden kijken.

En wat betreft die algemene voorwaarden: niet zo lang geleden trof ik een internetwinkel logo dat een winkel "logode" en toch echt keihard de EU algemen voorwaarden schond ...
Verder kun je gewoon op de winkel en ervaringen zoeken, en valt er wel wat te vinden. En gewoon liever bij kleine winkels kopen, netzo onveilig, maar minder interessant om te hacken ... en bestaan over een aantal jaar misschien niet meer: weg gegevens

nst6ldr 14 februari 2012 17:45

Jammer dat hier technische details missen, ik had wel een rapport willen zien van deze test. Voor de gewone consument is dit misschien afdoende, maar ik ben wel benieuwd naar de tests zelf. Blind vertrouwen ben ik niet zo van.

Pep7777 @nst6ldr • 14 februari 2012 19:46

Wie het ook test en hoe goed ook een 100% garantie kun je volgens mij inderdaad niet geven. Maar een site moet toch op zijn minst tegen basis dingen als sql injectie kunnen.
En er zijn zat "scanners" die de meest voorkomende lekken blootleggen toch?

In ieder geval voor mijn vertrouwen in thuiswinkel.org is OPENHEID nodig, dus vertel gewoon WIE de test gedaan heeft (zal vast niet het "neefje van" zijn maar toch

) en maak inzichtelijk WAT er getest is.

[edit:]
En het kan zijn dat thuiswinkel liever niet zegt wat er gechecked is "omdat dat ideeen" zou kunnen geven aan script kiddies om andere sites aan te vallen. Maar in mijn opinie zou een standaard openbare lijst van checks een voorwaarde moeten zijn om aan te voldoen.
(Ook voor overheids sites)

[Reactie gewijzigd door Pep7777 op 24 juli 2024 08:08]

World Citizen 14 februari 2012 17:47

Dus als ze toch gehacked worden, kunnen we hen dan verantwoordelijk stellen?
En
Hoelang garanderen hun de veiligheid... tot 1 minuut na de test of voor een jaar....

ctrl-tab @World Citizen • 14 februari 2012 18:01

Jij kan je virus-scanner fabrikant toch ook niet verantwoordelijk stellen wanneer er een virus binnendringt op je systeem?

De tooling die thuiswinkel.org gebruikt maakt waarschijnlijk ook gebruik van definities zoals je die van je virusscanner kent (HP Webinspect is zo'n tool) , bovendien kijken ze alleen naar de OWASP richtlijnen. Je loopt met zo'n tool standaard achter de feiten aan, dat is logisch. Gerichte hacks zal je met een dergelijke scan niet snel voorkomen.

- Wat heb je dan aan zo'n scan?
Je voorkomt dat scriptkiddies met niet al-te-moeilijke methoden op je site inbreken.

- Kan je een site dan wel als 'veilig' bestempelen?
Dat ligt eraan, wat is veilig?
Niks is 100% veilig.

edit: dit nieuwsbericht is natuurlijk ook een uitnodiging om babydump te gaan defacen .... zou me niks verbazen als die site vandaag of morgen op zwart gaat.

[Reactie gewijzigd door ctrl-tab op 24 juli 2024 08:08]

Verwijderd 14 februari 2012 18:18

Ik wacht op de eerste die Thuiswinkel.org aansprakelijk stelt voor de schijnveiligheid die zij biedt met haar keurmerk. Ik quote mijn vorige post nog maar even.

Deze veiligheidsscan had maanden geleden al uitgevoerd moeten worden getuige het eerdere bericht over Thuiswinkel.org, wat blijkbaar ook maar alles doet om in de publiciteit te komen. Er moet elke keer iets gebeuren voordat deze organisatie actie onderneemt. In dit bericht zeiden ze ook al beter te gaan letten op de beveiliging van websites van haar leden: nieuws: Thuiswinkel.org wil webwinkels laten testen op lekken. Voor wat betreft beveiliging van websites is Thuiswinkel.org volslagen ongeloofwaardig en neemt ons consumenten in de maling. Wat mij betreft is naast Baby Dump ook Thuiswinkel.org aansprakelijk. Want wat claimt Thuiswinkel.org met haar keurmerk bewerk te stellen en voor jou als consument te waarborgen?

quote:
- 3 Bescherming persoonlijke gegevens
http://www.thuiswinkel.org/leden-thuiswinkel-waarborg

Uit dit bericht:

Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken.

Je hoeft echt geen Einstein te zijn om de beveiliging van een webwinkel goed op orde te brengen. Het pleiten voor deze samenwerking slaat nergens op en klinkt alleen maar weer als een zin die een promotioneel doeleinde dient. Kijk ons Thuiswinkel.org eens druk bezig zijn met de veiligheid van webwinkels. Webwinkels moeten hun beveiliging goed op orde hebben, hiervoor kunnen zij prima een externe partij inschakelen. Thuiswinkel.org moet op haar beurt zorgen voor periodieke en gedegen beveiligingstesten om hun claim van het keurmerk te kunnen waarborgen.

Jongen benadrukt wel dat webwinkels zelf verantwoordelijk zijn voor een solide beveiliging van persoonsgegevens in hun systemen.

Nee Jongen, als jij een keurmerk uitdeelt dat de 'bescherming persoonlijke gegevens' waarborgt ben ook jij (Thuiswinkel.org) verantwoordelijk.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 08:08]

rdjnl @Verwijderd • 14 februari 2012 21:02

Met die 'samenwerking' bedoelt de belangenorganisatie dat zij willen dat andere partijen zoveel mogelijk de beveiliging in handen nemen, zodat het de webwinkeliers zo min mogelijk kost. Vergelijk het met een club winkeliers in een winkelcentrum die graag een politieagent bij de deur hebben staan.

Uiteindelijk moeten de individuele leden zelf betalen voor de beveiliging van hun eigen webwinkel. Dat gaat de belangenclub niet doen, want dan betaald elk lid mee aan de beveiliging van de concurrent.

De belangenclub zorgt er niet actief voor dat de leden zich aan de regels houden. Als in de publiciteit komt dat een aangesloten webwinkel zich niet aan de regels houdt, wordt deze in uitzonderlijke gevallen alsnog het lidmaatschap afgenomen.

returnWT 14 februari 2012 18:00

"Thuiswinkel.org bepleit dat overheid, justitie, bedrijven en belangenorganisaties beter samenwerken om hackers aan te pakken."

Of webshop houders gaan eens hun verantwoordelijkheid nemen om de gegevens van zijn klanten te beschermen in plaats van de overheid bij het probleem te betrekken. Enige juiste manier om de overheid hierbij te betrekken is om nalaters te bestraffen.

Soldaatje 14 februari 2012 18:00

Babydump.nl betreurt de hack en biedt excuses aan, van pastebin.com:

Geachte klant,

Zoals u uit het nieuws zult hebben vernomen, is een bestand met namen van onze klanten op het internet gepubliceerd. In dat bestand staan helaas ook gebruikersnamen en wachtwoorden.

Toen dit nieuws ons bereikte hebben wij direct uw wachtwoord in onze bestanden verwijderd, maar misschien heeft u dat wachtwoord in combinatie met uw gebruikersnaam (vaak uw e-mail adres) ook op andere plekken gebruikt, bijvoorbeeld bij andere webwinkels, op facebook, Hyves, Marktplaats.
Ter voorkoming van misbruik adviseren wij u om dit meteen te wijzigen.

Wij betreuren het dat dit heeft kunnen gebeuren en bieden u onze excuses aan voor het ongemak.

Met vriendelijke groet,

Baby-Dump BV

Ja, lekker makkelijk als je hier mee weg komt.

Maar hopelijk komt het CBP in actie.
http://www.nu.nl/internet...liging-klantgegevens.html

mphilipp 14 februari 2012 18:14

Keurmerken...ik hoop dat er een keer een einde komt aan die valse veiligheid. Typisch iets voor Nederland, waarin we hebben geleerd dat er altijd een instantie moet zijn die iets garandeert dat helemaal niet te garanderen valt. Hoe werkt dat? Ik snap er geen bal van.
We zien keer op keer dat dit soort dingen falen, maar ondertussen staan we toe - nee, we eisen - dat ze ingesteld worden. Het drijft alleen maar de prijs op, want iedere organisatie moet weer lid worden, en ondertussen betekent het niets. Wéér een geld verslindende organisatie die de brave burger in slaap moet sussen.

Op dit item kan niet meer gereageerd worden.

Thuiswinkel.org: website Baby Dump is veilig

Lees meer

IT-banen

Reacties (51)

Sorteer op:

Weergave: