Dit blijkt uit onderzoek van de Consumentenbond in samenwerking met beveiligingsbedrijf Onvio. De webwinkels werden gecheckt op de meest voorkomende beveiligingslekken.
Bij één website, 123tijdschrift.nl, was het mogelijk om via een sql-injectie de gehele klantendatabase in te kijken. Bij een sql-injectie wordt een kwetsbaarheid in de verbinding tussen de website en database misbruikt.
De eigenaar van de webwinkel, Sanoma, heeft het lek inmiddels gedicht. Sanoma is ook uitgever van onder andere NU.nl.
XSS-lek
Het ernstige beveiligingslek dat bij 38 procent van de webwinkels werd aangetroffen, is een zogeheten cross-site-scripting-lek (XSS). Bij dit probleem verwerkt de website specifieke data, zoals cookies, niet op de juiste manier.
Door een XSS-lek kan een derde kwaadaardige code binnen de website uitvoeren. Een groot deel van de webwinkels is voor deze aanval kwetsbaar, waarmee klantgegevens kunnen worden buitgemaakt.
Zo is het voor een hacker bijvoorbeeld mogelijk om via het XSS-lek een malafide betaalpagina in de website van een webwinkel te integreren. De bezoeker kan vervolgens niet zien dat het om een malafide pagina gaat, omdat de echte url van de website wordt gebruikt.
Sommige webwinkels hebben het XSS-lek binnen een dag gedicht, maar meer dan de helft van de webwinkels reageerde niet op de bevindingen van de Consumentenbond.
Maatregelen
De Consumentenbond raadt consumenten aan om voor verschillende websites andere wachtwoorden te gebruiken. Mocht een webwinkel het slachtoffer zijn van een hack, is het gebruikte wachtwoord niet voor andere diensten, zoals e-mail en internetbankieren, te gebruiken.