RTL Nieuws laat expert 25 webwinkels hacken

Gepost op 18 mei 2012 door Webmaster. Bron: Security.nl.

RTL Nieuws heeft een beveiligingsexpert gevraagd om bij 25 webwinkels in te breken, wat onder andere een database met de gegevens van 95.000 klanten opleverde. Deze gegevens waren afkomstig uit de webwinkel van Perry Sport. In totaal werden er bij vijf webwinkels ernstige problemen ontdekt, waardoor het mogelijk was om klantgegevens in te zien, schadelijke software te installeren of wachtwoorden te achterhalen.

Bij zes webwinkels werden kleinere onregelmatigheden geconstateerd. In enkele gevallen was er toegang tot namen, adressen en wachtwoorden. Die wachtwoorden waren gehasht, maar het ontsleutelen nam slechts minuten in beslag. Sommige onderzochte webwinkels hadden hun winkel draaien op software van meer dan vijf jaar oud.

Waarschuwing
Het is onduidelijk of RTL de webwinkels van tevoren heeft gewaarschuwd dat het de veiligheid van de sites zou gaan testen. Dit wordt nergens door de televisiezender vermeld, maar uit de reactie van Perry Sport valt op te maken dat de websites het waarschijnlijk niet wisten.

"Direct na het vernemen van jullie bericht hebben wij derhalve alles in werking gesteld om te traceren op welke wijze deze gegevens voor onbevoegden toegankelijk waren. Wij zullen uiteraard alle maatregelen treffen die nodig zijn om dit verder te voorkomen."

SQL injection
Naast PerrySport bleek ook WinkelSlim de beveiliging niet op orde te hebben. De onderzochte winkel gebruikte verouderde software. "Dit verklaart de verschillende databases welke getoond werden na de SQL injection. In de nieuwere versies zijn alle winkels volledig zelfstandig."

Verder bleek de webwinkel ook last van SQL injection te hebben. "Deze fout zal zo spoedig mogelijk worden verholpen in al onze versies waarna we verwachten weer veilige webwinkels te leveren", aldus een reactie van de ontwikkelaar die software voor webshops ontwikkelt.