Jump to content
Norbert Bakker

Criminelen Skimmen creditcards bij 5.900 gehackte webshops

Recommended Posts

Criminelen Skimmen creditcards bij 5.900 gehackte webshops

 

Korte samenvatting:

Wereldwijd zijn er meer dan 5900 gehackte webwinkels waar criminelen de creditcardgegevens van klanten stelen die afrekenen, waaronder minstens 250 Nederlandse webshops

 

Terwijl het traditionele skimmen van pinpassen afneemt lijkt het aantal gevallen van online skimming juist toe te nemen. Dat ontdekte de Nederlandse beveiligingsonderzoeker Willem de Groot. De criminelen hacken de webwinkel en voegen vervolgens kwaadaardige code toe, zonder dat de eigenaren dit doorhebben

 

Waarom vind je dit interessant of wil je dit delen?:

Ik ben vooral verbijsterd door de onverschilligheid van gehackte webwinkels nadat ze door de onderzoeker gewezen werden op de inbreuken. Anno 2016 zou je toch mogen verwachten dat webwinkels cyberrisico's serieus nemen.

 

Zo liet één webwinkel weten dat de shop veilig was omdat er https werd gebruikt

 

Inmiddels heeft De Groot een lijst van de ruim 5900 gehackte webwinkels online gezet

 

En ik ben erg benieuwd of die 252 Nederlandse websites op deze lijst al een datalek-melding hebben gedaan? De boete voor het niet melden van een lek en de genomen maatregelen bedraagt minimaal € 4.500,- en kan afhankelijk van de omzet - oplopen tot € 900.000,-

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Ja, dat krijg je als mensen hun Yoomla, Magento, wordpress meuk etc. niet up to date houden.. Was net door het lijstje aan kijken, bankstelxl.nl wordt zelfs door chrome geblokkeerd :)

 


Met vriendelijke groet,

 

Sander Aerts - Aerts IT Group B.V.

www.aertsit.com / www.masatel.com / www.achtergrondonderzoek.nl / www.jamezz.nl

Share this post


Link to post
Share on other sites

Creditcardmaatschappijen zouden voor online betalingen een nette two-factor of three-factor authentication verplicht moeten stellen. Nu staan alle benodigde data op één drager — en kun je die dus overzetten op een andere drager. Een lek heeft altijd twee kanten: eentje waar iets uitlekt en eentje waar iets inlekt.

 

Om die reden heb ik trouwens geen internetbankieren-app op mijn telefoon: dat is namelijk dezelfde telefoon als waarop ik per sms de TAN-code voor de autorisatie van een iDEAL- of banktransactie ontvang. Als ik zie hoe gretig anderen apps verzamelen — en banken die pushen — vrees ik dat ik een uitzondering ben.

Share this post


Link to post
Share on other sites

Mijn MasterCard vraagt bij Nederlandse sites om extra autorisatie via 3d secure. Maar in andere landen weer niet ;) beetje apart allemaal. Maar i agree, als het aan mij ligt komt op elk belangrijk onderdeel minimaal 2 factor autorisatie.


Met vriendelijke groet,

 

Sander Aerts - Aerts IT Group B.V.

www.aertsit.com / www.masatel.com / www.achtergrondonderzoek.nl / www.jamezz.nl

Share this post


Link to post
Share on other sites

De Groot is wel wat rücksichtlos omgegaan met zijn publicatie. Zo keek hij alleen naar de aanwezige code die skimmen mogelijk maakt.

 

Een webshophouder liet op BNR al weten dat hij helemaal geen mogelijkheid tot creditcardbetalingen op zijn website heeft of heeft gehad. Dan is je vermelding op zo'n lijst wel een beetje lullig.....


Denarius Advies Fiscaal-juridisch adviseur: rechtsvormkeuze/-wijziging, samenwerkingsverbanden, bedrijfsoverdracht en exit-strategie: legal and tax

Share this post


Link to post
Share on other sites

De Groot is wel wat rücksichtlos omgegaan met zijn publicatie. Zo keek hij alleen naar de aanwezige code die skimmen mogelijk maakt.

 

Een webshophouder liet op BNR al weten dat hij helemaal geen mogelijkheid tot creditcardbetalingen op zijn website heeft of heeft gehad. Dan is je vermelding op zo'n lijst wel een beetje lullig.....

Misschien wel met paypal?, en met paypal kun je wel creditcard betalingen doen indirect, maargoed :) als dat niet zo is beetje lullig ja


Met vriendelijke groet,

 

Sander Aerts - Aerts IT Group B.V.

www.aertsit.com / www.masatel.com / www.achtergrondonderzoek.nl / www.jamezz.nl

Share this post


Link to post
Share on other sites

De Groot is wel wat rücksichtlos omgegaan met zijn publicatie. Zo keek hij alleen naar de aanwezige code die skimmen mogelijk maakt.

De 'naming & shaming'-lijst komt echter niet zomaar uit de lucht vallen. Het is een herhaling van een eerder onderzoek uit maart 2016 naar vulnarabilities die al sinds november 2015 bekend zijn. Nou weet ik niet welke formele termijnen je zou kunnen eisen voor het dichten van een datalek (misschien weet Norbert dat?), maar ik zeg altijd maar: op internet duurt een jaar drie maanden.

 

Een webshophouder liet op BNR al weten dat hij helemaal geen mogelijkheid tot creditcardbetalingen op zijn website heeft of heeft gehad. Dan is je vermelding op zo'n lijst wel een beetje lullig.....

Het gaat nu nog om creditcards, maar technisch zijn varianten van het lek veel gevaarlijker: JavaScript in de header of footer post complete formulieren met AJAX naar een derde. Dat script filtert nu nog op patronen die op een creditcardnummer lijken, maar de codebasis laat zich muteren tot iets dat filtert op iets anders. De varianten die nu opduiken, zijn vooral bedoeld om het script onherkenbaar te maken, maar je kunt evengoed varianten kweken die anders werken.

 

Volgens mij heb je al een datalek wanneer je zulke naar derden lekkende malware aan boord hebt, zelfs als die nog niet daadwerkelijk creditcardgegevens heeft gelekt. Het gaat erom dat je ongemerkt data had kúnnen lekken, niet slechts dat je daadwerkelijk data hebt gelekt. Een kwijtgeraakte USB-stick of gestolen laptop is ook al een datalek als daarop persoonsgegevens staan; het datalek ontstaat niet pas later in tweede instantie bij onbevoegd gebruik door een derde.

Share this post


Link to post
Share on other sites

Nou weet ik niet welke formele termijnen je zou kunnen eisen voor het dichten van een datalek (misschien weet Norbert dat?)

 

De wet spreekt van een datalek "wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten"

 

Het betekent dat een lek alleen een datalek is als er daadwerkelijk sprake is of is geweest van verloren persoonsgegevens of onrechtmatige verwerking (van o.a. financiële data).

Bij een site die door code-injectie is geïnfecteerd maar waar nog geen gegevens zijn gelekt, is dus nog geen sprake van een datalek (en in theorie dan dus ook nog geen plicht om het te melden)

Uiteraard kan - na een gegevenslek - het feit dat je van dit lek op de hoogte was of had moeten of had kunnen zijn en niet of niet tijdig maatregelen hebt getroffen om dit te verhelpen, een grote rol spelen in het bepalen van de boete, die kan oplopen tot 10% van de omzet (met een minimum van € 4.500,- en een maximum van € 900.000,-) .

 

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Bij een site die door code-injectie is geïnfecteerd maar waar nog geen gegevens zijn gelekt, is dus nog geen sprake van een datalek (en in theorie dan dus ook nog geen plicht om het te melden).

Dus als deze malware een geheel formulier verzendt naar een onbevoegde derde (feit) doordat het denkt in een geboortedatum of bankrekeningnummer iets van een creditcardnummer te herkennen (hypothese), dan is het een datalek. Dan zou je eigenlijk de hypothese moeten toetsen door de code te ontleden om na te gaan of je een datalek hebt.

 

Dan lijkt software tijdig updaten me voor 5.899 van die 5.900 getroffen webshops toch makkelijker. ;D

 

Complicatie is dat je het werkelijke dataverkeer nooit kunt aantonen: via AJAX lekt de client rechtstreeks naar de server van een derde. Je kunt daarom omgekeerd ook niet aantonen dat er niet is gelekt, tenzij uit het ontleden van de code blijkt dat het technisch uitgesloten is. Dat klinkt wel bijna als: "onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten".

Share this post


Link to post
Share on other sites

Tja, al die webshops gemaakt op basis van bijv wordpress met lekker makkelijk een plugin van een 1 of andere site, of nog beter een betaalde plugin illegaal downloaden van bijv een russische server. En vrijwel niemand die de code bekijkt, want een developer is toch wat te duur.

Share this post


Link to post
Share on other sites

IK zie veel negatieve berichten die impliceren dat de webshophouder onverschillig en/of dom is, en daarom zijn zaakjes niet op orde heeft.

 

Maar bekijk het eens van de andere kant: Daar zijn waarschijnlijk veel mensen tussen die niets anders willen dan de basics van handel: inkoop en verkoop, waarbij ze denken iemand anders gevonden te hebben om voor de rest te zorgen.

 

En die mensen weten misschien wel niets van IT en cyberrisico's, en willen daar ook niets van weten


Bel Patenthuis voor alle octrooivragen.

Share this post


Link to post
Share on other sites

IK zie veel negatieve berichten die impliceren dat de webshophouder onverschillig en/of dom is, en daarom zijn zaakjes niet op orde heeft.

 

Indien en voor zover je (ook) aan mij referereert: ik doelde specifiek op de onverschilligheid van webshophouders nadat ze op de hoogte gesteld waren van de ernstige besmetting. ;)

 

En die mensen weten misschien wel niets van IT en cyberrisico's, en willen daar ook niets van weten

 

Je hoeft écht geen brandexpert te zijn om als ondernemer op de hoogte te zijn van de basics van brandrisico's, en dat zelfde geldt ook voor Cyberrisico's voor webwinkels. Wie roept dat ze daar niets van willen weten moet direct stoppen, want ongeschikt als ondernemer.

 

waarbij ze denken iemand anders gevonden te hebben om voor de rest te zorgen.

En als een derde je dan informeert over een ernstige besmetting dan doe je niets? Zelfs niet informeren bij die "iemand anders die voor de rest zou zorgen"?

Klinkt een beetje als dat iemand meldt dat je huis in brand staat, en jij vervolgens denkt "poeh, daar hoef ik me gelukkig niet mee bezig te houden, daar heb ik iemand anders voor" :P

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Ook voor mij en ik denk voor vrijwel iedereen die ik ken (op één na die bij mij de beveiliging heeft gedaan) het goed beveiligen een black box is. Zorgen dat alles zo veel mogelijk is ge-update helpt maar de goede criminelen zijn vaak een stap vooruit.

 

Creditcard betalingen gaan bij mij alleen via PayPal en daar valt volgens mij niets te skimmen. Normale betalingen gaan via Mollie en dat lijkt me ook heel veilig. Maar helemaal zeker ben ik er niet van.

 

Een enkele keer krijg ik een melding van mijn ISP dat er een lek is gevonden en gerepareerd. Geen idee wat ze gevonden hadden maar goed dat het gerepareerd is denk ik dan.

 

Tikje onverschillig dus en wellicht ook een beetje dom maar wat moet je dan? Ik doe mijn best maar of dat nu echt helpt?

 

Vergelijkbaar: Van de week kwam de buurvrouw vertellen dat bij hen de Renault was gestolen met een software truc. Ik moest ook maar oppassen. Maar wat moet ik dan doen? De beveiliging van de software eigenhandig verbeteren of er de hele nacht naast gaan staan? Ook hier haal ik mijn schouders over op. Hij is verzekerd en ik heb gedaan wat ik kon.

 


Kemdirect Toiletvloeistof en reinigers voor caravan, camper en boot.

Sparringpartner voor IE en marketing (zie Inventigator)

Share this post


Link to post
Share on other sites

Vergelijkingen zijn altijd moeilijk, Norbert.

 

En ik ben het er ook niet helemaal eens met de handelswijze van die mensen, maar ik begrijp het wel. Het idee van een ondernemer die als een kapitein alles op zijn schip, groot of klein, onder controle heeft, is leuk, maar is een ideaalbeeld dat niet overeenstemt met de realiteit.

 

Ik denk dat de vergelijking met een bedrijfsruimte in een bedrijfsverzamelgebouw beter is. Op een gegeven moment krijg je het bericht dat er wel eens iets met de electrische installatie aan de hand kan zijn. Ten eerste weet je dat de beheerder een professional is die zeker betere bronnen heeft dan jij, dus die zal wel actie ondernemen. Ten tweede heb je hem een link naar het berciht gestuurd.

 

Ik heb geen webshop maar kan me voorstellen dat het daarmee ook zo is: Je huurt een webshop, stopt hem vol met spulletjes, en je vertrouwt op je leveranciers dat het goed zit, want zelf ben je druk genoeg met inkoop en verkoop en verzending en klantenservice en marketing.

 

Ik vind dat een heel valide businessmodel. Ben je perfect bezig als ondernemer? Nee, maar je ziet toch ook wat voor beginnersvragen er hier soms langskomen? Wel, koppel die mensen dan eens aan zo'n webshop met dubieuze code. Zo'n gedachtensprong is dat toch niet?


Bel Patenthuis voor alle octrooivragen.

Share this post


Link to post
Share on other sites

Zo'n gedachtensprong is dat toch niet?

Zeker niet; maar die meldplicht datalekken is er uiteraard niet voor niets gekomen. Kennelijk is er toch wel iets serieus mis met de risk awareness van de gemiddelde (kleine) webwinkelier.

 

Kortom:

e huurt een webshop, stopt hem vol met spulletjes, en je vertrouwt op je leveranciers dat het goed zit, want zelf ben je druk genoeg met inkoop en verkoop en verzending en klantenservice en marketing.

Dat is niet (meer) genoeg. Je kunt ook niet zomaar een kraampje met een gril en zelf gemaakte saté op straat zetten en "vertrouwen op je leveranciers dat het goed zit", "want zelf ben je druk genoeg met inkoop en verkoop en en marketing". Je bent echt zelf verantwoordelijk voor voedselveiligheid en aansprakelijk bij voedselvergiftiging.

 

Ik denk dat de vergelijking met een bedrijfsruimte in een bedrijfsverzamelgebouw beter is. Op een gegeven moment krijg je het bericht dat er wel eens iets met de elektrische installatie aan de hand kan zijn. Ten eerste weet je dat de beheerder een professional is die zeker betere bronnen heeft dan jij, dus die zal wel actie ondernemen. Ten tweede heb je hem een link naar het bericht gestuurd.

Stel: er breekt in het weekend brand uit en die blijkt veroorzaakt door een ondeugdelijke elektrische installatie die niet gekeurd is. Dan keert 50% van de brandverzekeraars de schade aan jouw bedrijfsruimte niet uit. Waarom niet? Omdat jij verantwoordelijk bent voor het navragen van die keuringstukken bij de beheerder en omdat zowel op het polisblad als in de clausules staat dat er zonder gekeurde elektrische installatie geen dekking is.

 

Als ondernemer - inclusief kleine webwinkels kun je je geen reactieve onverschilligheid permitteren. Zodra je verneemt dat je website mogelijk gekraakt is, of je elektrische installatie niet deugt, moet je in actie komen en er bovenop blijven zitten totdat het geregeld is.

 

Een webwinkel is geen limonadekraampje. Zodra je online transacties afhandelt en/of gegevens vastlegt, kunnen kwaadwillenden daarmee zware schade aanrichten. De tijd om dat af te doen met "dat overkomt mij niet" is voorbij. Een webwinkelier moet, net als een fysieke winkel, zorgen voor voldoende "inbraakpreventie"

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Wijst graag op het percentage wat die (kleine) webwinkeliers direct of indirect aan creditcardmaatschappijen betalen. Voor die vergoeding zou m.i. een veilig en betrouwbaar betaalsysteem gefaciliteerd moeten worden.

 

In de media lees ik over kraken van miljoenen klantgegevens, van dat aantal klanten kunnen de meeste webwinkeliers allen maar dromen. Heeft onderzoeker gemeld wie direct acceptant zijn?

 

Groet,

 

Highio

 


HelikopterLandingsplaats...

Share this post


Link to post
Share on other sites

In de media lees ik over kraken van miljoenen klantgegevens, van dat aantal klanten kunnen de meeste webwinkeliers allen maar dromen.

 

Als die 252 Nederlandse webwinkels allemaal kleine webwinkeltjes zijn met gemiddeld 1 klant per kalenderdag, zijn dat al 91.980 klantgegevens ;). (Bij 5.900 webwinkels zit je dan op ruim 2,1 miljoen...met gemiddeld 1 klant per webwinkel per dag)

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites

Perspectieven en meningen verschillen, maar het percentage creditcardacceptanten en creditcardbetalingen bij (kleine) webwinkeliers in NL ligt aanzienlijk lager dan hun totaal aantal transacties. Al helemaal als je het onderscheid maakt tussen direct acceptanten enerzijds en PSP of Paypal-gebruikers anderzijds.

 

Natuurlijk moet je handelen en melden na kennisname van een probleem. Bij kraken van miljoenen klantgegevens heb ik het over de zaken waar dit bij grote ondernemingen of multinationals plaatsvindt. En daarbij is het natuurlijk heel handig als je toevoeging van welke code dan ook aan jouw bestanden waar kunt nemen.

 

Groet,

 

Highio

 


HelikopterLandingsplaats...

Share this post


Link to post
Share on other sites

Ik ben sinds kort zo'n "argeloze" webwinkelier.

 

Ik heb bewust een webwinkel gehuurd en daar mijn paar producten ingezet. De betalingen lopen via een payment service provider. Beide heb ik gedaan omdat ik dacht dat dat voor een non-programmeur als ik de meest veilige oplossing was.

 

Maar nu zit ik ineens met de vraag wie er verantwoordelijk is als de huurbaas van de webwinkel wordt gehackt of de servers van de betaaloplossing?

Share this post


Link to post
Share on other sites

Hallo,

 

Ik wil toch graag even het e.e.a. nuanceren. Een van onze webshops is op deze lijst gekomen. De website was volledig up-to-date, maar door het niet verwijderen van een script werd deze toch als onveilig gezien. Dom, dom, dom......

 

Even wat opmerkingen bij dit artikel:

 

1. Wist u dat Willem de Groot gerelateerd is aan (de oprichter is van) Byte.nl

2. Wist u dat op de lijst van de heer de Groot in eerste instantie ook domeinen stonden die gehost waren bij Byte.nl maar dat deze er gedurende de dag afgehaald zijn en andere bedrijven niet van deze lijst af kunnen.

3. Wist u dat door de lijst van de heer de Groot webshop eigenaren nu overspoeld worden door spam van bedrijven die dit probleem wel voor hun willen oplossen. Sommigen van deze mails zijn zelfs bedreigend. Reageer nu of anders........

4. Je vraagtekens kunt zetten bij de manier waarop deze lijst is samengesteld? Is deze soms verzameld via de online test tool van Byte.nl. In ons geval is het vreemd dat een website die wij via hun tool getest hebben op deze lijst voorkomt en een andere en sterk verouderde website niet op de lijst staat?

5. Er is vandaag weer een nieuwe software patch is uitgekomen voor Magento en hierdoor is de lijst wanneer je deze nu zou samenstellen weer anders.

 

Deze opmerkingen zijn helemaal niet bedoeld om het niet op order hebben van een webshop goed te praten, maar slechts een reactie op het feit dat iedereen de conclusies van de heer de Groot maar klakkeloos over neemt zonder ook maar enig onderzoek te doen naar de beweegredenen.

 

Met vriendelijke groeten,

Jos Koren

JelloPoint

 

Share this post


Link to post
Share on other sites

 

Een webwinkel is geen limonadekraampje. Zodra je online transacties afhandelt en/of gegevens vastlegt, kunnen kwaadwillenden daarmee zware schade aanrichten. De tijd om dat af te doen met "dat overkomt mij niet" is voorbij. Een webwinkelier moet, net als een fysieke winkel, zorgen voor voldoende "inbraakpreventie"

 

 

Ik ben het wel met je eens, maar ik heb ook veel begrip voor de andere kant.

 

 


Bel Patenthuis voor alle octrooivragen.

Share this post


Link to post
Share on other sites

@Jos, allereerst welkom op Higherlevel en erg fijn (en dapper) dat je als "getroffen" webwinkel wilt reageren en nuanceren. Het verhaal ook van de andere kant horen brengt een discussie pas echt naar een "higher level"!

 

 

1. Wist u dat Willem de Groot gerelateerd is aan (de oprichter is van) Byte.nl

Ja, maar eerlijkheidshalve: dat kreeg pas achteraf - na publicatie - relevantie ivm punt 2

 

2. Wist u dat op de lijst van de heer de Groot in eerste instantie ook domeinen stonden die gehost waren bij Byte.nl maar dat deze er gedurende de dag afgehaald zijn en andere bedrijven niet van deze lijst af kunnen.

Erg jammer dat de heer de Groot kennelijk bezweken is voor de druk van zijn voormalige bedrijf en klanten. Dat doet afbreuk aan zijn integriteit en verzwakt daarom ook (onnodig) zijn boodschap.

 

3. Wist u dat door de lijst van de heer de Groot webshop eigenaren nu overspoeld worden door spam van bedrijven die dit probleem wel voor hun willen oplossen. Sommigen van deze mails zijn zelfs bedreigend. Reageer nu of anders........

Eerlijk gezegd: alle begrip en heel vervelend, maar ik vind het belang van de klanten zwaarder wegen.

En ik betwijfel of iedere webwinkel wel wist dat ze hun datalek moesten melden binnen 3 x 24 uur, op straffe van een boete van 10% van de omzet met een minmum van € 4.500,-. Dus je zou ook kunnen stellen dat meneer Groot consumenten én de webwinkel zelf een dienst heeft bewezen, ook al is dat niet van harte gegaan

 

4. Je vraagtekens kunt zetten bij de manier waarop deze lijst is samengesteld? Is deze soms verzameld via de online test tool van Byte.nl. In ons geval is het vreemd dat een website die wij via hun tool getest hebben op deze lijst voorkomt en een andere en sterk verouderde website niet op de lijst staat?

Waarvan akte. Maar hoe de lijst is samengesteld vind ik persoonlijk minder relevant.

 

5. Er is vandaag weer een nieuwe software patch is uitgekomen voor Magento en hierdoor is de lijst wanneer je deze nu zou samenstellen weer anders.

Voor zover ik de informatie van de heer De Groot zelf goed begrepen heb, bestaat deze lijst uit bedrijven die al langer geïnfecteerd zijn, daarover ook eerder geïnformeerd zijn (is dat zo?) en desondanks - na minimaal 6 maanden - geen stappen ondernomen hebben.

Dat een vandaag uitgebrachte Magento-patch deze issues wellicht oplost is mooi, maar dan zijn deze webwinkels nog steeds 6 maanden besmet geweest?

 

Deze opmerkingen zijn helemaal niet bedoeld om het niet op order hebben van een webshop goed te praten, maar slechts een reactie op het feit dat iedereen de conclusies van de heer de Groot maar klakkeloos over neemt zonder ook maar enig onderzoek te doen naar de beweegredenen.

 

Het eerste wat klokkenluiders altijd tegengeworpen krijgen zijn beweegredenen. Feit is dat de meeste klokkenluiders nu eenmaal insiders moeten zijn om de informatie te kunnen verzamelen of op de juiste waarde te kunnen schatten. De schijn van eigenbelang valt daardoor nooit te vermijden.

 

Ik ben het wel met je eens, maar ik heb ook veel begrip voor de andere kant.

Ik ook hoor! :)

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites
Erg jammer dat de heer de Groot kennelijk bezweken is voor de druk van zijn voormalige bedrijf en klanten. Dat doet afbreuk aan zijn integriteit en verzwakt daarom ook (onnodig) zijn boodschap.

Ik denk dat er weinig druk nodig is, volgens de lijst van "medewerkers" is de heer Groot nog steeds werkzaam bij Byte. Het feit dat andere bedrijven wel van de lijst afgehaald worden en dat deze bedrijven vrijwel uitsluitend klantn van Byte zijn is op zijn minst discutabel te noemen.

Eerlijk gezegd: alle begrip en heel vervelend, maar ik vind het belang van de klanten zwaarder wegen.

En ik betwijfel of iedere webwinkel wel wist dat ze hun datalek moesten melden binnen 3 x 24 uur, op straffe van een boete van 10% van de omzet met een minmum van € 4.500,-. Dus je zou ook kunnen stellen dat meneer Groot consumenten én de webwinkel zelf een dienst heeft bewezen, ook al is dat niet van harte gegaan

Over de bewezen dienst is ook nog wel wat aan te merken. Op deze lijst staan ook bedrijven die er ten onrechte op staan. Punt is dat de heer Groot klaarblijkelijk beslist wie er wel of niet tercht op staat. Een voorbeeld: het betreft hier Magento Software waar in het afgelopen haar behoorlijk wat lekken boven gekomen zijn. Deze lekken in de software zijn echter niet allemaal hetzelfde. Er bestaat bijvoorbeel een zogenaamde Credit Card Hijack. Dit is een ernstig lek maar alleen relevant wanneer er betalingsgegevens via de website verstuurd worden (Credit Card Transacties). In een paar gevallen was dit het enige lek op ene website echter deze webshops wrketen helemaal niet met Credit Cards. Maar staan hierdoor nu wel onterecht op de lijst.

Waarvan akte. Maar hoe de lijst is samengesteld vind ik persoonlijk minder relevant.

Dit vind ik nogal wat wanneer je dit zo stelt. Byte stelt een Tool beschikbaar voor het testen van websites die wereldwijd wordt gebruikt. Er wordt nergens gemeld dat ingevoerde URL's voor andere doelen gebruikt kunnen worden. Wanneer het lijkt dat er op basis van deze lijst een lijst met gehackte websites is samengesteld is dat zacht gezegd merkwaardig. Zeker gelet op het feit dat aan Byte gerelateerde webshops (ondanks dat ze deze test niet goed doorlopen) van de lijst afgehaald worden.

Dat een vandaag uitgebrachte Magento-patch deze issues wellicht oplost is mooi, maar dan zijn deze webwinkels nog steeds 6 maanden besmet geweest?

Mijn punt is hier juist het moment van samenstellen van de lijst. Wanneer dit nu zou gebeuren is de lijst minimaal 10 keer zo lang. Omdat mensen deze patch nog niet geïnstalleerd hebben. Wij zijn als bedrijf nooit geïnformeerd op de manier die de heer Groot schetst. Uiteraard zijn veligheidsissues bekend, en je bent altijd zelf verantwoordelijk voor de veiilgheid maar van eenduidige info is geen sprake! De lijst is op 10 oktober samengesteld. Wanneer ik op 9 oktober mijn shop heb opgeschoond kom ik dus ook niet op deze lijst ondanks dat ik al veel langer onveilig was.

Het eerste wat klokkenluiders altijd tegengeworpen krijgen zijn beweegredenen.

Ik beschouw de heer Groot niet echt als een klokkenluider. Wat hij wil bereiken met zijn artikel is helemaal terecht. Met zijn aktie heeft hij wel bereikt dat honderden website nu wel veilig zijn. Het kan en mag nooit zo zijn dat hij als belanghebbende na het naar buiten brengen nog steeds de controle heeft over deze lijst en zijn "eigen klanten" er af haalt.

 

 

 

Share this post


Link to post
Share on other sites
Dit vind ik nogal wat wanneer je dit zo stelt.

Aan de hand van jouw input snap ik dat de manier waarop de lijst is samengesteld - en weer is opgeschoond van byte klanten - zeker bedenkingen oproept. Maar ik zie dat nog steeds los van de boodschap zelf.

 

Wat hij wil bereiken met zijn artikel is helemaal terecht

Dat dus.

 

Mijn punt is hier juist het moment van samenstellen van de lijst. Wanneer dit nu zou gebeuren is de lijst minimaal 10 keer zo lang.

Ah, zo had ik er nog niet naar gekeken. Sterk punt!

 

 


B2Bsure, vooruithelpers in risicomanagement en verzekeren     

Solopartners, brancheorganisatie voor zelfstandige zorgprofessionals       

 

Blog: verzuim verzekeren wordt duurder, kijken naar alternatieven loont

Share this post


Link to post
Share on other sites
Maar ik zie dat nog steeds los van de boodschap zelf.

Ok, maar even om het helder te krijgen. Jij vindt dus dat wanneer er een tool op een website geplaatst wordt om websites te testen op eventuele onveiligheid. De domeinnamen die ingevoerd zijn op deze testsite zonder problemen gebruikt mogen worden in de desbetreffende lijst die de heer Groot nu publiceert? Zonder te vermelden dat gegevens ingevoerd in deze site gebruikt mogen worden door aanbieder van deze testtool voor andere doeleinden en zonder een echte check of aangetroffen onveiligheid wel consequenties heeft?

 

Nog even voor de duidelijkheid, ik heb geen direct bewijs dat dit is gebeurd, alleen een sterk vermoeden.

Share this post


Link to post
Share on other sites
Let op: het laatste bericht in het topic waar je op wilt reageren is meer dan zes maanden oud. Onnodig oude topics omhoog halen wordt niet altijd gewaardeerd, maar natuurlijk mag je nog wel op oude topics reageren.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Bring your business plan to a higher level!

    On this forum all subjects are discussed related to entrepreneurship.

    Growing together with other entrepreneurs

    ✓     Ask your entrepreneur questions

    ✓     Share your answers

    ✓     Low profile

    ✓     Transparant

    ✓     At your convenience

    ✓     Always based on relevance, substance and expertise

×

Cookies on HigherLevel.nl

Cookies are necessary for Higherlevel.nl to function properly. By using HigherLevel.nl you declare to have read and accepted our terms and conditions.

 More information   I accept