Beantwoord

Beveiliging supermarktapps en - websites, en gebruik captcha's

  • 22 December 2020
  • 17 reacties
  • 687 Bekeken

Volgens onderzoek van CB zijn veel supermarktapps en -websites onvoldoende beveiligd. Maar de apps en websites van onder andere Albert Heijn houden zich wel netjes aan de privacyregels. Ook zijn deze voldoende beveiligd.

Ik mis hierin een analyse van het gebruik van captcha's door AH in het inlogproces. Is dit onderdeel van de authenticatie? Is dat dan niet beveilgd met een maximaal aantal inlogpogingen, zoals het artikel stelt?

Een captcha-controle als onderdeel van de authenticatie heeft op zijn best geen enkele toegevoegde waarde (het is een maatregel tegen het geautomatiseerd aanmaken van accounts), maar heeft waarschijnlijk als nadeel dat persoonsgegevens worden gedeeld met de captcha-dienstverlener (zoals IP-adres) én dat de consument wordt misbruikt als verdienmodel voor het testen van AI-systemen voor zelfrijdende voertuigen. Is dit aspect meegenomen bij de beoordeling van de beveiliging?

icon

Beste antwoord door Peter Kulche 23 December 2020, 11:57

Bekijk origineel

17 reacties

Badge +8

Hi @P. Veltman, dank voor je vraag! Ik denk dat mijn collega @Peter Kulche je hier wel meer over kan vertellen. :slight_smile:

Ja, bedankt. Moet ik daar nog iets voor doen of zal @Peter Kulche  vanzelf reageren?

Captchas dienen om te voorkomen dat een pagina/site door een computer ge/mis-bruikt worden, het is een manier om vast te stellen dat er een mens achter de computer zit. Het is geen identificatie.

Badge +8

Ja, bedankt. Moet ik daar nog iets voor doen of zal @Peter Kulche  vanzelf reageren?

Nee hoor, als Peter de mention ziet zal hij vast snel reageren!

Reputatie 4
Badge +7

De Privacymeter is een quickscan die de aandacht voor privacybescherming vaststelt. Het is niet een compleet veiligheidstestprogramma waarin álle problemen naar voren zullen komen. De captcha-controle is geen onderdeel van het testprogramma. Hier geven wij een toelichting op onze testmethodiek:  https://www.consumentenbond.nl/internet-privacy/hoe-werkt-de-privacymeter 

Bedankt @Peter Kulche. Omdat jullie in het artikel schreven dat “hackers bij ... met behulp van een zogenoemde ‘brute force attack’ eindeloos wachtwoorden of gebruikersnamen blijven raden” (maar bij AH dus niet) was ik even bang dat jullie de captchacontrole hadden gezien als beveiligingsmaatregel tegen zo’n brute force attack. Maar dat is dus niet zo?

Blijft het probleem dat er bij die captchacontrole waarschijnlijk nodeloos persoonsgegevens worden gedeeld met de captchadienstverlener (zie criterium: “Welke gegevens worden (minimaal) verwerkt bij het maken en gebruiken van een account? (ook gevoelige gegevens?)”. En deze captchapntrole dient geen reëel doel. Hij is niet bedoeld om het automatisch aanmaken van accounts te verhinderen, want je hebt al een account. Het enige wat hij doet is de consument irriteren.

@P. Veltman ik probeer te begrijpen wat nou eigenlijk je punt is maar ik kom er niet uit. Eerst stel je nutteloze vragen waar je het antwoord blijkbaar al op weet en dan ga je naar conclusie die niets van doen lijken te hebben met de beveiliging van apps van supermarkten. Wil je nou iets weten of wil je mensen ergens van overtuigen en wat is dat dan?

Captchacontrole is veel meer dan het irritante vinkje zetten of aan te klikken wat een zebrapad is.
Het analyseert het gedrag van de bezoeker van de website.
Volgens Google wordt de data enkel gebruikt om recapcha te verbeteren.
De laatste versie is in de meeste gevallen onzichtbaar en stelt alleen vragen als je verdacht bent.
Of Google wel of niet te vertrouwen is met deze dienst kan ik nergens vinden.
En ik verwacht ook niet van de consumentenbond dat ze hier een uitspraak over doen.
 

@Wortelstamper 

  1. De captchacontrole bij AH is na de controle van gebruikersnaam en wachtwoord en voordat je verder kunt met boodschappen bestellen. Wat moet er op dat moment worden geanalyseerd aan mijn gedrag? Wat moet er überhaupt worden geanalyseerd aan mijn gedrag, zonder mijn toestemming?
  2. Google is niet de enige captcha-dienstverlener en in de meeste gevallen worden de data gebruikt voor training van AI-systemen.
  3. “Als je verdacht bent”!? Verdacht waarvan? En hoe zou die captchacontrole dat dan moeten verhelpen?
  4. Het gaat er niet om of Google te vertrouwen is, maar hoe CB bij de quick scan het criterium heeft geëvalueerd dat er niet stiekem persoonsgegevens worden verwerkt (in dit geval: gedeeld met de captchadienstverlener) door de supermarkt.

Het is sowieso al vreemd dat u iedere keer opnieuw moet inloggen in die app. U gooit dus waarschijnlijk uw identificatie weg en dat is niet normaal. Waarom zou een zinnig mens nadat hij zich geïdentificeerd heeft die identificatie weer weggooien. Spaar me uw reden trouwens maar ga dan niet zitten janken dat je captchas voorgeschoteld krijgt.

Ik heb zelf een nietszeggende website die niet in de index van Google voor komt.
Toch komen er meerdere keren per dag bots van alles en nogwat uitproberen.
Daar heeft AH veel meer last van.
Dat die beveiliging stiekeme dingen doet, kun je dat bewijzen?

 

@Wortelstamper 

Het zal best dat AH last heeft van bots, maar waarom moet ik bewijzen dat ik geen bot ben (door middel van de captcha-controle) nadat ik al ben ingelogd, en dus mijn identiteit is vastgesteld en gecontroleerd? Dat heeft zin ter voorkoming van het geautomatiseerd aanmaken van accounts, maar niet daarna.

Ik kan niet bewijzen dat de beveiliging stiekeme dingen doet en beweer dat ook niet. Ik acht het mogelijk of zelfs waarschijnlijk dat bij de captchacontrole persoonsgegevens zoals mijn IP-adres worden gedeeld met de captcha-dienstverlener. Dat zou dan onder de cookieverklaring van AH moeten vallen.

Zie bijvoorbeeld ook:

https://www.security.nl/posting/679504/Captchadienst+hCaptcha+claimt+marktaandeel+van+15+procent.

Als ik een account aan wil maken krijg ik dit te zien.
Deze pagina is beveiligd met reCAPTCHA, het Privacybeleid en de Servicevoorwaarden van Google zijn van toepassing.
Stiekem doen ze het ook niet, alle spionnen staan in de voorwaarden.
Albert Heijn schakelt ook derden zoals EYC, Google DoubleClick, Facebook, en Salesforce in voor het analyseren van de gegevens over jouw websitegebruik

Mijn visie hierop is.
Bezoek de site niet.
Zet de app niet op de telefoon.
Ga naar een andere winkel en betaal daar contant.
Neem je telefoon niet mee, als je boodschappen gaat doen.

Om Google te ontlopen, moet je echt heel erg veel moeite doen.
En dan hebben we het nog maar over 1 bedrijf dat je begluurt.

Bedankt @Wortelstamper dat stond mij niet meer zo bij. Daarmee is mijn tweede vraag aan @Peter Kulche over dit onderwerp beantwoord.

@Peter Kulche 

Om te kijken wat die captchacontrole precies doet op de website van AH heb ik een nieuwe account aangemaakt en daarna geprobeerd in te loggen met een fout wachtwoord.

Wat blijkt: de captchacontrole wordt iedere keer uitgevoerd, bij een inlog, niet alleen bij een geslaagde inlog. Kennelijk wordt die controle uitgevoerd nog voordat het wachtwoord wordt geëvalueerd. En ook: er lijkt geen limiet te zijn op het aantal foutieve inlogpogingen. Ik ben na 10 keer gestopt. Die captchacontrole biedt in ieder geval geen bescherming tegen een handmatige brute force attack.

CB concludeerde op grond van de quick scan dat de website van AH “voldoende beveiligd” is. Ik snap wel dat de quick scan geen “compleet veiligheidstestprogramma [is] waarin álle problemen naar voren zullen komen”, maar zo’n conclusie kan dan toch eigenlijk niet getrokken worden?

Reputatie 7
Badge +4

Is die captchacontrole niet gewoon ter bescherming van de helpdesk van AH (of elk bedrijf dat dat gebruikt)? Captcha wordt gebruikt om brute force te beperken, maar een beetje toegangscontrole voorkomt gewoon brute force door na een paar foute wachtwoorden het account op slot te zetten, of wachttijd in te bouwen. Maar dan gaat de echte vergeetachtige de helpdesk bellen en dat kost geld. 

 

Kortom, omwille van helpdesk-geld wordt de beveiliging maar omlaaggeschroefd?

Ik snap nog steeds het punt van deze discussie niet. AH serveert captchas bij aanloggen en doet dat om misbruik door robots te voorkomen, hetzelfde waar iedereen die voor inzet. Ik neem niet aan dat ze bijhouden hoe goed mensen zijn in het herkennen van stoplichten en zebra's dus waar wordt ik nou geacht mij druk over te maken?

En als iemand per se de wappie uit wil hangen en bang bent dat het herkennen van bruggen iets over je persoonlijkheid zegt dan gebruik je die app niet, zal mij ook rectaal oxideren.

 

Reageer