Vanmorgen werd echt een superactie van onze politie bekend. Blauw op straat blijkt echter ook blauw online. Een eenvoudig onderzoekje van WebsiteNazorg.nl laat zien dat de webshop weliswaar te opvallend nep is, maar ook persoonsgegevens lekt. De webshop van de politie trok via sociale media 12.000 bezoekers aan en laat zien dat Politie en andere overheidsinstanties nog altijd niet goed samenwerken.
De internet.nl test
Via Internet.nl maakt de overheid (met behulp van SIDN) het mogelijk om de basisveiligheid van websites en webshops te testen. Deze nep webshop haalt op het moment van schrijven slechts 63% van de tests. Let wel, het is vrijwel geen moeite voor criminelen om hier 100% op te scoren. Dus dit is zeker geen rode vlag bij het checken of een webshop betrouwbaar is. Maar hier gaat het fout;
- De website serveert over IPv4 en IPv6 verschillende code waardoor de test niet afgemaakt kan worden. Dus doen we een paar zaken handmatig;
- Er is geen security.txt voor het melden van lekken, maar dat geldt voor het gros van de webshops, dus geen marker voor onbetrouwbaarheid
- Er zijn geen HTTP security headers, maar wie checkt dat nou voor een aankoop?
- HTTPS verwerking verloopt niet goed, afhankelijk van de verbinding. Bezoekers kunnen dit als een storing ervaren waar ze doorheen klikken. Ook dit gebeurt namelijk de beste webshops.
De WebsiteNazorg Privacy Scan
De WebsiteNazorg .nl privacy scan gaat veel verder dan alleen het checken van cookies. Die worden in de meeste browsers toch al snel onderdrukt. Het lekken van jouw persoonsgegevens gaat tegenwoordig vooral via de code van de website. De datadelingen in de front-end zijn inzichtelijk voor ons team en leveren de volgende bevindingen op;
- De Facebook pixel wordt aangeroepen, waardoor jouw bezoek aan Meta’s reclamenetwerk gelinkt kan worden voor o.a. retargeting. Binnen de GDPR is er geen juridische grondslag om deze pixel te gebruiken, omdat er andere privacybewuste mogelijkheden zijn om te bepalen hoeveel je campagne via Facebook oplevert.
- De Google Tag Manager wordt aangeroepen. Waarschijnlijk om Google Analytics te gebruiken om te meten hoeveel bezoek de site trekt. Google Analytics lijkt vooralsnog in lijn met de AVG. Echter zijn de algemene voorwaarden van Google Tag Manager anders. Die bepalen dat alle bezoekersdata (zonder toestemming te vragen) gedeeld mag worden met de reclamenetwerken van Google. En anders zou Google deze data ook binnenkrijgen via de Google API’s die de site aanroept voor bijvoorbeeld het gebruik van de lettertypen van Google.
- Andere partijen die jouw persoonsgegevens ontvangen en kunnen gebruiken bij een bezoek aan deze site zijn Trustpilot en Cloudflare. Die laatste is een partij waarvan we weten dat privacy hoog in het vaandel staat en ze deze data gebruiken om aanvallen af te slaan.
En dan toch nog even wat meer cyber security details;
Wat andere details die mogelijk leuk zijn om te weten. De webshop wordt gehost door BIT op een Ubuntu webserver. De server draait Apache 2.4.58 welke 19 oktober 2023 werd gelanceerd en inmiddels 12 kwetsbaarheden kent.
De webshop is opgebouwd op het React framework met Next.js versie 14.2.15. Deze kwam uit op 23 mei 2022 en heeft sinds die tijd dus geen updates meer ontvangen. Sinds 21 oktober staat de teller voor Next.js op versie 15. Er zijn geen grote problemen bekend qua veiligheid voor Next.js.
Leuk detail in de opbouw van de website is dat ze gebruik maken van een frame met daarin een TrustPilot pagina met een hoge rating en veel reviews. Die pagina wordt netjes vanaf het eigen domein geladen. Bij doorklik kom je op een echt negatieve score op Trustpilot.
We vragen ons wel af of een criminele webshop die link zou plaatsen. Want wat doet een bezoeker als bij het tikken op het Trustpilot logo de Trustpilot pagina van de webshop niet wordt geladen? De moeite doen om het zelf op te zoeken, of gewoon lekker doorshoppen omdat de korting te verleidelijk is?