Bij een inbraak in het IT-systeem van bedrijven is in veel gevallen de basisbeveiliging niet in orde. Vaak wordt bij hacks gesproken over APT (Advanced Persistent Threats), terwijl het merendeel van die aanvallen helemaal niet zo geavanceerd is.
De gevolgen van alle kleine hacks bij elkaar samen zijn vele malen groter zijn dan gevolgen van APT’s, omdat die vaak op één bedrijf zijn gericht. Bovendien houden bedrijven kleine hacks vaak onder de pet en daardoor komen die gevolgen niet naar buiten. Alleen al de financiële schade na kleine inbraken bedraagt vaak enkele tienduizenden tot honderdduizenden euro’s bedraagt.
Bedrijfs-IT moet constant gemonitord worden op zwakheden en aanvallen. Jaarlijkse security-audits, hoe belangrijk ook, geven voornamelijk schijnveiligheid. Die test geeft veel bedrijven een veilig gevoel, maar dat is het in feite niet. Eigenlijk moeten bedrijven naar real-time monitoring, maar dat wordt uit kostenoverweging vaak niet gedaan. Daarnaast blijft patchmanagement een uitdaging voor veel bedrijven. Daarbij vormen bijvoorbeeld fusies en overnames een groot risico, omdat er in die overgangsperiode vaak geen overzicht is.
Technologie is niet niet altijd de oplossing. Door bewustwording van beveiliging (security awareness) kan 80 procent van de risico’s geadresseerd worden. Als voorbeeld kan natuurlijk het hele lektober-dossier aangevoerd worden, maar nu blijkt dat ook de Thuiswinkel-leden problemen hebben met de beveiliging.
Ruim 10 procent van de Thuiswinkel-leden heeft een lekke site. Dit blijkt uit een onderzoek dat in twee dagen is uitgevoerd door de 17-jarige IT-student Daniël Heesen. Hij vroeg zich af hoeveel lekke websites er zijn onder de bedrijven die het Thuiswinkel Waarborg-certificaat dragen. CheapTickets.nl, dat de gegevens van 715.000 klanten heeft gelekt, draagt dat keurmerk ook. In totaal prijkt de Thuiswinkel-waarborg op 1200 websites, waarbij het ledenbestand is ontdaan van doublures en met weglating van niet-werkende websites. Op 143 daarvan heeft de student nu xss-lekken (cross-site scripting) gevonden. Daarmee kunnen kwaadwillenden de lekkende webwinkels voorzien van eigen pagina’s, informatie of programmacode waardoor winkelbezoekers gevaar lopen. Daarnaast heeft de student bij 18 van de 1200 websites ontdekt dat die kwetsbaar zijn voor SQL-injectie aanvallen. Daarmee kan een kwaadwillende eigen commando’s geven aan de achterliggende database van een website. De inhoud – al dan niet geheel – van zo’n database kan daarmee worden buitgemaakt.
Het lekkenonderzoek is eind vorige week in twee dagen uitgevoerd. Daarna is Thuiswinkel.org afgelopen weekend geïnformeerd. Directeur Wijnand Jongen zegt dat hij maandagavond op de hoogte is gesteld. Vervolgens heeft de brancheorganisatie de betreffende bedrijven ingelicht. ‘We hebben dinsdagochtend de lekken aan de webwinkels gemeld, met de url’s en wat uitleg: wat het lek betekent en wat xss en SQL-injectie is. Onze leden zijn namelijk meestal ondernemers, die de bouw van hun sites uitbesteden’.
De hacker heeft zijn bevindingen verwerkt in een rapport, dat vandaag wordt vrijgegeven. ‘Door het schrijven van dit rapport heb ik onder andere ontdekt dat 11,9% van alle websites die het Thuiswinkel Waarborg-certificaat hebben nog lek zijn’. Dat percentage betreft de ontdekte xss-lekken. De SQL-lekken zitten in 1,5 procent van de 1200 webwinkels. ‘Sommige hebben zelfs ook nog het McAfee-certificaat. Websites van grote namen waar lekken in zitten zijn bijvoorbeeld: V&D, Kruidvat, Marskramer, BCC, Belcompany en Nemo’.
Thuiswinkel.org-directeur Wijnand Jongen verzekert dat alle betreffende leden zijn benaderd. Het merendeel heeft feedback gegeven en actie ondernomen.