Beveiliging van .nl-websites vaak niet op orde

[Captain Kirk]

De meerderheid van websites met .nl-domeinnamen vertoont ernstige beveiligingsrisico’s. Ook is bijna een kwart van de Nederlandse webservers niet goed beveiligd. Vaak is dit te wijten aan het niet of te laat updaten van software. Dat blijkt uit een ‘passive vulnerability scan’ die de SIDN, de registry van het .nl-toplevel domein, heeft laten uitvoeren door Radically Open Security.

Volgens de SIDN maken de gevonden kwetsbaarheden het bijvoorbeeld mogelijk voor hackers om in te breken op de website, data te stelen of om de controle over de site helemaal over te nemen. Vooral voor webwinkels kan dit riskant zijn, aangezien zij werken met betaalgegevens en klantdata.

Radically Open Security heeft tussen juli en oktober van dit jaar 1380 .nl- websites onderzocht. Het meeste kwamen kwetsbaarheden in MySQL voor, gevolgd door SMTP-lekken. Ook bleken nog 11 websites, oftewel 0,8 procent, kwetsbaar te zijn voor het Heartbleed-lek.

Verder blijkt uit het onderzoek dat er slechts zelden gebruik wordt gemaakt van HTTP-headers die de beveiliging verhogen, zoals X-Frame-Options, ContentSecurity-Polic en X-Content-Type-Options.

De scantool, die onderdeel uitmaakt van de bewustzijnscampagne Alert Online, toont volgens de onderzoekers aan dat bij veel zakelijke websites de digitale veiligheid niet op orde is. “En dat terwijl online aanwezigheid en online dienstverlening steeds belangrijker worden.”

 

bron: security.nl