Kwart van de webwinkels heeft geen beveiligde verbinding

http://www met muisaanwijzer Internetextensies

De verbinding van veel webwinkels met een webwinkel-keurmerk is niet goed beveiligd. Zeker 28% van de winkels heeft geen beveiligde verbinding.

Dat blijkt uit onderzoek van marketingbureau Dutch Internet Marketing. Een beveiligde verbinding is te herkennen aan het groene slotje links van de adresbalk in een browser.

 

Keurmerk

In totaal werden 14.880 webwinkels onderzocht die zijn aangesloten bij een webwinkel-keurmerk. 28% van deze groep  bleek geen beveiligde verbinding aan te bieden (of bezoekers daar niet automatisch heen te sturen). Een beveiligde (https) verbinding kan voorkomen dat kwaadwillende hackers kunnen meekijken of zelfs informatie kunnen manipuleren.

Het onderzoek betrof de voorpagina’s van de webwinkels. Het is mogelijk dat bepaalde onderdelen (zoals betaal-pagina’s) beter zijn beveiligd. Het komt echter geregeld voor dat op pagina’s waar e-mailadressen en wachtwoorden ingevuld kunnen worden een beveiligde verbinding ontbreekt.

Webwinkels met een keurmerk hebben vaker een correct ingestelde https-verbinding dan webwinkels zonder keurmerk. Het ontbreken van een beveiligde verbinding kan namelijk schadelijk zijn voor zowel de consument als voor de webwinkel.

 

Risico

Het risico dat bezoekers lopen verschilt per webwinkel omdat elke webwinkel andere functionaliteiten aan zijn bezoekers biedt. Gelukkig vinden bijna alle transacties bij webwinkels in Nederland plaats in een beveiligde omgeving; betalen via bijvoorbeeld iDEAL is dan ook nagenoeg altijd veilig.

Waar de consument echter wel mee moet oppassen is het invullen van persoonlijke gegevens op websites zonder beveiligde verbinding. Bij de meeste webwinkels kunnen bezoekers zich inschrijven voor de nieuwsbrief of een account aanmaken. Bij het aanmaken van een account moet men vaak ook een wachtwoord invoeren. Dit gebeurt in veel gevallen op pagina’s zonder beveiligde verbinding.

 

Https-slotje

Zonder beveiligde verbinding is het risico groter dat een kwaadwillende hacker gevoelige data kan onderscheppen. Het stelen van gegevens kan op talloze manieren. Bijvoorbeeld als een hacker een zogenoemde “man-in-the-middle-aanval” uitvoert.

Als er eenmaal data van een webwinkel gestolen zijn hebben hackers vaak de beschikking over persoonlijke gegevens zoals het gebruikte e-mailadres en wachtwoord. Veel consumenten gebruiken op meerdere plekken hetzelfde wachtwoord of een variatie op dit wachtwoord. Een hacker kan op deze manier met het gestolen e-mailadres en wachtwoord op allerlei plekken proberen in te loggen. Daarnaast kan het e-mailadres gebruikt worden voor het versturen van spam.

Geen beveiligde verbinding is schadelijk

Veel hostingpartijen ondersteunen tegenwoordig Let’s Encrypt. Webwinkels kunnen hiermee zonder extra kosten zorgen dat de verbinding beveiligd is. Let’s Encrypt is onderdeel van de non-profit organisatie Internet Security Research Group. Het initiatief  wordt gesponsord door onder andere: Google Chrome, Facebook en Cisco.

Ondersteunt het bedrijf waar de webwinkel bij gehost wordt dit niet? Dan kan er al voor 10 euro per jaar een SSL certificaat worden aangeschaft. Er is dus eigenlijk geen excuus om geen SSL certificaat te hebben.

Slechte gebruikerservaring op webwinkels zonder HTTPS

Vanuit het oogpunt van de gebruiker is het fijn als een webwinkel een beveiligde verbinding heeft. Daarnaast gaat Google Chrome steeds duidelijker aangeven welke websites niet veilig zijn. Firefox doet dit ook doormiddel van een waarschuwing wanneer een gebruiker wil inloggen op en een non-https-site.

Bezoekers die afgeschrikt worden door het ontbreken van een SSL certificaat verlaten hierdoor mogelijk de website. Dat is natuurlijk slecht voor het aantal conversies maar ook voor de online vindbaarheid van een website. Beter gebruikersgedrag wordt immers beloond door Google en slecht gebruikersgedrag wordt bestraft en resulteert in lagere posities in de zoekresultaten.

Bij Google is het zelfs zo dat websites met een beveiligde verbinding voordeel hebben ten opzichte van websites die geen beveiligde verbinding hebben.

Kans op boetes en schade

Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens meer mogelijkheden gekregen om websites met een slechte beveiliging boetes op te leggen. Mocht het zo zijn dat na een datalek blijkt dat een website niet voldoende heeft gedaan om dit datalek te voorkomen dan kan de Autoriteit Persoonsgegevens een boete opleggen. Een van de punten waar de Autoriteit Persoonsgegevens naar kijkt is of een website een beveiligde verbinding heeft en of er voldoende is gedaan om het lekken van data te voorkomen.

 

Gerelateerde berichten...