In april 2008 schreef ik al over een onderzoek van Networking4all, afgelopen woensdag 29 december 2010 hebben ze weer een persbericht uitgestuurd over – een naar mijn mening dubieus onderzoek naar – SSL-beveiliging bij webwinkels. Ik ken dit regelmatig terugkerende onderzoek nog wel uit de tijd dat ik voor Conrad nog in de Thuiswinkel.org werkgroep “Fraude & Veiligheid” zat.

httpsHet onderzoek is gedaan door een aanbieder van beveiligingscertificaten, dat roept bij mij direct vraagtekens op. Waarschijnlijk komen wij er ook wel als Conrad ook onveilig uit, omdat er geen certificaat is voor https://conrad.nl of https://www.conrad.nl, maar de persoonlijke gegevens worden wel degelijk via SSL verstuurd, maar via een ander subdomein -> https://www1.conrad.nl/ (meestal zijn certificaten gekoppeld aan een bepaald subdomein)… Tja maar hoe en wat er precies onderzocht is, dat vermelden ze helaas niet!

Dus wie weet zijn er vele andere webwinkels die het wel veilig versturen, maar ook via een andere inrichting? 86% lijkt me dan ook veel te hoog – ik bestel geregeld online en nagenoeg alle shops die ik ken bieden het bestelproces via https aan. En als de 86% wel zou kloppen, dan is de steekproef in ieder geval verre van representatief.

Verder heeft het onveilig versturen van naam- en adresgegevens helemaal niets met iDEAL of een andere betaalmethode te maken. De betaling zelf via iDEAL vindt plaats bij de desbetreffende bank van de klant en die is wel altijd – door de bank zelf – beveiligd. Kort samengevat is het meer een nogal op sensatie gericht persbericht – alleen om extra publiciteit te trekken (en meer te verkopen?). Wel komt het heel af en toe voor dat credit card betalingen onbeveiligd mogelijk zijn, dit is veel gevaarlijker. Want als deze gegevens onderschept worden door fraudeurs, dan kunnen ze direct voor betalingen gebruiken, zonder TAN-codes, digireader, etc.

NB: Vrijwel alle webwinkels versturen na een bestelling als bevestiging een e-mail, meestal met alle details erin -> en je raad het misschien al… E-mailverkeer is altijd onbeveiligd en dus zijn vrijwel altijd dit soort details te onderscheppen. En wie rept hierover? Juist niemand! Ook hier schreef ik al ruim 2 jaar geleden over en hier is nog helemaal niets aan veranderd.

Samengevat: Ik ben echt een voorstander van het beveiligd versturen van persoonlijke gegevens – zeker als het ook om betaaldata gaat – maar om dit zo in de publiciteit te brengen en de naam iDEAL eraan te verbinden voor extra publiciteit, vind ik wel heel kwalijk.

No Comments »