In opdracht van NRC Next deed Digisafe onderzoek naar de veiligheid van 60 verschillende webwinkels die zijn aangesloten bij één van de drie grootste thuiswinkelkeurmerken, zoals Thuiswinkel.org, Keurmerk.info en Qshops.org. Ten minste twaalf webwinkels hebben een lek, waardoor de gegevens van klanten voor hackers te achterhalen zijn.

Per keurmerk werden twintig webwinkels geselecteerd voor een niet-representatieve steekproef. Bij webshop Parfum.nl waren de klantengegevens te verkrijgen, ondanks het Thuiswinkel Waarborg. De webshop heeft het lek inmiddels gedicht. Bij de grote webshops als Wehkamp.nl, Neckermann.nl en Bol.com zit het met de beveiliging van de sites goed.

Keurmerk is geen garantie
“Een keurmerk zegt eigenlijk niets over de veiligheid van de webshop”, vertelt Michel Willems van One Stop Webshop. “Het heeft een ander doel. Voor de consument geeft een waarborg aan dat de website zich aan de algemene voorwaarden houdt, bijvoorbeeld dat het geld binnen 30 dagen wordt teruggestort. Over de technische waarborg van de site zegt het keurmerk niets. De webshop kan nog steeds een lek hebben.”

Secure Socket Layer (SSL) certificaat verstandig
Volgens het NRC zijn het voornamelijk kleine webshops die hun beveiliging niet op orde hebben. Toch zijn de lekken volgens Willems te voorkomen. “Als webwinkelhouder is het verstandig een Secure Sockets Layer (SSL) certificaat te hebben. Zodra iemand zijn gegevens en bestelling achterlaat op de site, wordt dat via internet verstuurd en omgezet in een soort geheimtaal die voor hackers niet te lezen is. Daarnaast wordt het certificaat uitgegeven door een onafhankelijke partij die de beveiliging kan waarborgen.”

Maak wachtwoord niet te makkelijk
“Wat ook geregeld gebeurt is dat een webshophouder te makkelijk met wachtwoordgegevens is. Soms is het wachtwoord te makkelijk of wordt het wachtwoord bij meerdere inlogsites gebruikt, waardoor het voor de hacker sneller te achterhalen is. Dat moeten zij echt proberen te voorkomen. Daarnaast moet de webwinkelbouwer in staat zijn snel het lek te kunnen dichten.”

Ook lek bij sites keurmerken
Niet alleen bij de webshops, maar ook op de websites van de webwinkelkeurmerken werden lekken gevonden. Digisafe onderzocht de sites van dertien verschillende keurmerken. Na onderzoek bleken slechts vijf een website te hebben zonder beveiligingslekken.

Niet de eerste keer
Het is niet de eerste keer dat er lekken bij webwinkels worden gevonden. RTL Nieuws vond vorig jaar gaten in de beveiliging bij 11 van de 25 onderzochte onlinewinkels.  Een expert kreeg toen toegang tot bijna 100.000 klantgegevens van Perry Sport.