Toename datalekken in webapplicaties​

Het komt steeds vaker in het nieuws: datalekken in webapplicaties. Eén van de meest recente gevallen is een gegevenslek in de webshop van Blokker. Door het ordernummer in de URL aan te passen was het maandenlang mogelijk om gegevens en bestellingen van andere klanten in te zien. Er wordt geschat dat het bij 720.000 bestellingen mogelijk was om onder andere bestelde producten, namen, adressen en telefoonnummers in te zien. Bij dit type datalek was het mogelijk om zonder enige controle gegevens op te vragen. Er wordt op geen enkel moment gecontroleerd of de persoon die de gegevens wil benaderen ook daadwerkelijk de bevoegdheid heeft om deze gegevens in te zien.

De juiste aanpak?

Hanteren software-ontwikkelteams wel de juiste aanpak om dit soort kwetsbaarheden te voorkomen? Om een antwoord te kunnen geven op deze vraag zou men een volledig beeld moeten hebben van het software-ontwikkelproces. Na een verdubbeling van het aantal datalekken in één jaar, kan worden geconcludeerd dat de huidige processen niet toereikend zijn.

Om kwetsbaarheden in het algemeen zo veel mogelijk te voorkomen is een juiste aanpak van security in het hele software-ontwikkelproces nodig. Een toepassing van security vanaf het moment van ontwerp tot het moment dat de applicatie wordt uitgerold en in productie is. Vanaf dit punt begint het proces opnieuw; security als continue proces en niet alleen als verificatie stap aan het eind.

Het gevolg hiervan, is dat er een gedeelde verantwoordelijkheid voor security ontstaat. Security is niet meer de verantwoordelijkheid van één persoon of meerdere securityspecialisten, maar van iedereen die betrokken is bij het ontwikkelen van de applicatie. Het voordeel is dat een kwetsbaarheid al in een vroeg stadium wordt ontdekt.

 

In het geval van het datalek van Blokker is de kwetsbaarheid pas ontdekt lang nadat de applicatie voor iedereen toegankelijk was. Dit betekent een aanzienlijk grotere kostenpost om de kwetsbaarheid op te lossen, als wanneer dit eerder in het software-ontwikkelproces was verholpen.

Met de SALT-security scan kunnen wij u helpen om snel inzicht te krijgen in de veiligheid van uw online webapplicaties én of u met uw huidige software-ontwikkelproces op de goede weg bent. Onze aanpak verschilt met traditionele security scans: wij richten ons op uw gehele software-ontwikkelproces.

Voor een vrijblijvend gesprek, kunt u zich aanmelden voor de SALT security scan