[Artikel] Criminelen Skimmen creditcards bij 5.900 gehackte webshops

[Norbert Bakker]

Ok, maar even om het helder te krijgen. Jij vindt dus dat wanneer er een tool op een website geplaatst wordt om websites te testen op eventuele onveiligheid. De domeinnamen die ingevoerd zijn op deze testsite zonder problemen gebruikt mogen worden in de desbetreffende lijst die de heer Groot nu publiceert?

 

Nee, dat vind ik zeker niet.

 

Maar ik zie dat los van de lijst zelf. Het is immers geen rechtbank waar je onrechtmatig verkregen bewijs niet mag gebruiken. Bewijs is bewijs: de lijst is er, en dat staat los van de manier waarop de lijst tot stand is gekomen. Zie ook Wikileaks en Panamapapers: allemaal twijfelachtig verkregen informatie, maar de informatie zelf staat op zich.

 

Zonder te vermelden dat gegevens ingevoerd in deze site gebruikt mogen worden door aanbieder van deze testtool voor andere doeleinden en zonder een echte check of aangetroffen onveiligheid wel consequenties heeft?

Zonder meer kwalijk te noemen, maar - ik val in herhaling - het doet niet af aan de lijst zelf.

 

De "getroffen" webwinkels doen er wat mij betreft verstandig aan om niet al te veel te piepen over hoe ze op de lijst terecht zijn gekomen (dat moet je onder water uitzoeken; niet in publiek debat. Daarmee maak je je zelf onnodig verdacht en verzwak je je sterkere argumenten), maar of de lijst zelf inhoudelijk wel terecht is.

 

Dat er winkels op staan die nooit creditcardtransacties hebben aangeboden vind ik - wederom persoonlijk - een veel sterker argument dan dat de informatie vermeend onrechtmatig of langs dubieuze weg - verkregen is.

 

[Ward van der Put]

Ik wil toch graag even het e.e.a. nuanceren. Een van onze webshops is op deze lijst gekomen. De website was volledig up-to-date, maar door het niet verwijderen van een script werd deze toch als onveilig gezien. Dom, dom, dom......

 

Even wat opmerkingen bij dit artikel:

Welkom Jos, voor je openhartigheid en kritische observaties verdien je sowieso een reus (en die houd je van me tegoed).

 

Mijn punt is hier juist het moment van samenstellen van de lijst. Wanneer dit nu zou gebeuren is de lijst minimaal 10 keer zo lang.

Je kunt inderdaad vraagtekens zetten bij de reikwijdte van zo'n onderzoek, maar we moeten Willem de Groot niet guilty by association maken. Een beveiligingsspecialist beperkt zich nu eenmaal tot de beveiligingsproblematiek waarin hij is gespecialiseerd, dus dat dit van/voor/vanuit de Magento-hosting van een Magento-hostingspecialist komt, is heel logisch. Ik zou me eerder zorgen gaan maken wanneer iemand die niets van Magento weet er grote beveiligingsfouten in vindt.

 

Dat de problemen in werkelijkheid veel groter zijn, geloof ik graag, maar je kunt iemand niet verwijten dat hij slechts waarschuwend naar het topje van een ijsberg wijst wanneer de overgrote massa nog onder water verborgen is.

 

Wij zijn als bedrijf nooit geïnformeerd op de manier die de heer Groot schetst.

Dat is een lastig dilemma. Een ethische hacker waarschuwt getroffenen eerst in stilte, om ze in de gelegenheid te stellen passende maatregelen te treffen. De vraag is of dat praktisch nog wel haalbaar is wanneer het er vele duizenden zijn. En of dat niet te lang gaat duren, waardoor kwaadwillenden te lang onheil kunnen aanrichten.

 

Dat je dan de prioriteit legt bij getroffenen die je kent en snel kunt bereiken of helpen, je eigen klanten, lijkt me vanzelfsprekend.

 

De revisies van de lijst zijn overigens gewoon openbaar.

 

[kootjoo]

Dat je dan de prioriteit legt bij getroffenen die je kent en snel kunt bereiken of helpen, je eigen klanten, lijkt me vanzelfsprekend.

Helemaal eens, echter veel andere getroffenen hebben na deze publicatie hun websites ook in orde gemaakt maar zijn niet in staat deze lijst bij te werken of er vanaf te komen. En hier zit denk ik het verschil in.