Software van webwinkels blijkt vaak onveilig

  • door
Webwinkels software ShopifyWebwinkels software Shopify

Beveiligingsonderzoekers van de Duitse overheid melden dat software van webwinkels nog te vaak kwetsbaarheden bevat. Zo bleek onder meer het wachtwoordbeleid van retailers ontoereikend.

Het Duitse ministerie voor informatiebeveiliging (BSI) was verantwoordelijk voor het onderzoek naar de staat van beveiliging van Duitse webwinkels. Specifiek werd onderzoek gedaan naar de installaties van zogenoemde winkelplatformen waarop Duitse retailers hun webwinkel bouwen. Het gaat dan onder meer om bekende partijen als WooCommerce en Shopify. Hoewel de bedrijven zulke software dus niet zelf ontwikkelen, zijn ze wel verantwoordelijk voor de beveiligingsmaatregelen die ze treffen op zulke platformen. Juist op dat vlak laten de onderzochte webwinkels regelmatig steken vallen, dat meldt het BSI.

Tien kritieke beveiligingsproblemen

Tijdens het onderzoek werden 78 beveiligingslacunes aangetroffen. Tien van die problemen werden door de onderzoekers als kritiek bestempeld – problemen die dus meteen aandacht behoeven. Over de opgespoorde problemen en mogelijke oplossingen wordt niet gesproken door het ministerie. Het overheidsorgaan schrijft wel dat ‘zeven op tien webwinkelplatformen gebruikmaakt van verouderde JavaScript-bibliotheken’. Ook zou een deel van de retailers gebruikmaken van software die inmiddels de end-of-life fase heeft bereikt en dus niet (actief) wordt onderhouden.

Ontoereikend wachtwoordbeleid

Een deel van de software biedt bovendien een ontoereikend wachtwoordbeleid. Ongeweten is of de wachtwoordperikelen worden veroorzaakt door gemakzucht bij de winkels of dat de software nog te weinig aandacht besteed aan aanvullende wachtwoordvereisten. Het ministerie licht dit probleem – dat bij bijna alle producten zou spelen – niet verder toe.

Wat het BSI betreft doet de veroorzaker van de problematiek er niet toe. De onderzoekers roepen softwareleveranciers op de gekende problemen snel op te lossen. Het is vervolgens wel aan winkels om de beveiligingsupdates dan ook op hun systemen uit te rollen. Voor systemen die geen updates meer ontvangen, worden webwinkels opgeroepen deze in de ban te stoppen en over te stappen op een versie of product dat wel actief wordt ondersteund.

Naast de roep om directe actie rond de beveiligingsproblemen, vraagt het ministerie ook aandacht voor het voorkomen van soortgelijke situaties in de toekomst. Volgens de overheid is het aan bedrijven om kwetsbaarheidstoetsen uit te voeren op hun software en beveiligingsupdates hiervoor uit te brengen.

Situatie bij Belgische webwinkels

Het onderzoek werd specifiek toegespitst op Duitse retailers. Het zegt dus niet per se iets over de staat van beveiliging bij Belgische webwinkels. Tegelijk gebruiken webwinkels wel vaak dezelfde of vergelijkbare webwinkelplatformen om hun digitale shops op te baseren; problemen die spelen in Duitsland, keren daarmee mogelijk ook terug in België.

Voor consumenten zit er weinig anders op dan te vertrouwen op beveiligingsmaatregelen die door de retailers worden getroffen. Gebruik alvast per webwinkel een apart wachtwoord en sla bij voorkeur je creditcardgegevens niet direct bij retailers op. Zo voorkom je dat zulke data uitlekt als de software achteraf onveilig bleek te zijn.

Kennisgeving: Voor dit product is een JavaScript vereist.

Bron: Techpulse.be