Supermarktapps hebben vaak grote problemen met de privacy. Dat stelt de Consumentenbond na eigen onderzoek. Soms sluizen ze zelfs ongevraagd data door naar Facebook.
Het gaat om 9 van de 13 online-supermarkten. Bij vijf zijn zelfs de wachtwoorden niet veilig. De winkels beloven beterschap, maar bij een hertest werd het er niet veel beter op. Wel scoorden drie supermarkten verbeteringen.
De bond gebruikte het onderzoeksprogramma van de Privacymeter. Dit programma checkt op tientallen punten of online diensten voldoen aan de privacywet. Bij dit onderzoek keek de bond ook naar de wachtwoordbeveiliging en het netwerkverkeer vanuit de apps.
Wachtwoorden niet veilig
Het belangrijkste probleem trad bij vijf van de supers op. Er zat bijvoorbeeld geen limiet op het raden van het wachtwoord van klanten. Dat was bij Coop, Dirk, Jan Linders, Plus en Spar het geval. Met speciale software was het mogelijk om ongelimiteerd wachtwoorden te proberen bij e-mailadressen van bestaande klanten.
Als een crimineel toegang heeft tot iemands supermarkt-account, is daar niet direct veel schade mee aan te richten (op dit moment). Het risico is daar wel als de klant het wachtwoord ook bij honderden andere diensten kan proberen om daar toegang te krijgen.
Bij zes supermarktapps was het mogelijk om op te zoeken wie er klant was. Dat kan door een lange lijst e-mailadressen op de servers van de supermarkten af te vuren. Je krijgt dan een afwijkende reactie als het e-mailadres bekend is. Dit was mogelijk bij Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar.
Coop, Jan Linders, Plus en Spar hadden een gevaarlijke combinatie van bovenstaande kwetsbaarheden. Je kon klanten vinden en daar ook de wachtwoorden bij proberen.
Advertentiecookies
De websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar plaatsten zonder toestemming advertentiecookies. De enige manier om je te beschermen tegen deze privacyschending is een adblocker.
Bovendien vroegen alle acht niet (helemaal) op de juiste wijze om toestemming voor cookies, door een verwarrend cookiemenu. Of ze boden een keuzemenu waarin geen keuze mogelijk was (een cookiemuur). Ook dat is niet volgens de AVG.
Door bestudering van het netwerkverkeer van de apps van Coop, Deen, Jumbo, Jan Linders en Spar bleek dat ze communiceerden met Facebook, zonder de klant daarover ‘aan de voorkant’ te informeren. Dat betekent dat Facebook ongevraagd kan registreren wie bij welke supermarkt shopt, wanneer dat gebeurt en met welke telefoon.
Alleen de supermarktapps en websites van Albert Heijn, Aldi en Lidl kwamen nagenoeg foutloos door de privacytest. Wel had de iOS-versie van de AH-app een foutje: je kon aangepaste cookie-instellingen niet opslaan.
Hertest
Begin december was er een hertest. Die vond een paar weken nadat de supermarkten van de problemen op de hoogte waren gedaan. Tegenvaller bij de hertest was volgens de bond dat geen enkele van de vijf supermarkten de wachtwoordproblemen had aangepakt. de supermarkten zijn nogmaals op hun verantwoordelijkheid gewezen. Anderen lieten de bond weten dat ze er vanwege corona en kerstdrukte niet op korte termijn aan toe zouden komen.
Wel hebben Deka en Picnic de problemen met advertentiecookieproblemen opgelost. Coop en Picnic haalden het stiekeme Facebookverkeer uit hun apps. Daardoor kregen ze ook een hogere privacyscore. Zij scoren nu ‘goed’.
Lees ook:
- AP waarschuwt Jumbo: stop gezichtsherkenning
- Datakluizen geven gebruikers controle over eigen gegevens terug
