Negen van de dertien online-supermarkten gaan slordig om met gegevens van hun klanten, blijkt uit onderzoek van de Consumentenbond. Bij vijf zijn zelfs wachtwoorden niet veilig. De winkels beloven beterschap, al is dat maar beperkt terug te zien in de eerste hertest, zo stelt de Consumentenbond.
In november onderzocht de Consumentenbond hoe goed dertien Nederlandse supermarktketens gegevens van klanten beschermen. Op tientallen punten werd gecontroleerd of online diensten voldoen aan de privacywet en niet onnodig gegevens delen met andere bedrijven. Verder werd ook gekeken naar de wachtwoordbeveiliging en het netwerkverkeer vanuit de apps. Het aantal gevonden problemen bepaalt of een dienst goed, matig of slecht scoort.
Negen supermarkten (Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic, Plus en Spar) scoorden door privacyproblemen matig in de privacytest. Het belangrijkste probleem trad bij vijf van de supers op. Er zat geen limiet op het raden van het wachtwoord van klanten. Dat was bij Coop, Dirk, Jan Linders, Plus en Spar het geval. Met speciale software was het mogelijk om ongelimiteerd verschillende wachtwoorden te proberen bij e-mailadressen van bestaande klanten (een zogenaamde 'brute force aanval').
Als een crimineel toegang heeft tot iemands supermarkt-account, is daar niet direct veel schade mee aan te richten (op dit moment). Het risico is wel dat hij het wachtwoord ook bij honderden andere diensten kan proberen om daar toegang te krijgen. Veel mensen hergebruiken wachtwoorden, hoe onverstandig dat ook is.
Klanten opzoeken
De Consumentenbond trof bij zes supermarkten de mogelijkheid aan om op te zoeken wie er klant was. Daarvoor werd een lange lijst e-mailadressen op de servers van de supermarkten afgevuurd en werd een afwijkende reactie verkregen als het e-mailadres bekend was. Dit was mogelijk bij Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar. Coop, Jan Linders, Plus en Spar hadden een gevaarlijke combinatie van bovenstaande kwetsbaarheden: Het was mogelijk om klanten te vinden én daar de wachtwoorden bij proberen.
Advertentiecookies
De websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar plaatsten zonder toestemming advertentiecookies. De enige manier waarmee gebruikers zich kunnen beschermen tegen deze privacyschending is een adblocker. Bovendien vroegen alle acht niet (helemaal) op de juiste wijze om toestemming voor cookies, door een verwarrend cookiemenu of boden ze een keuzemenu waarin geen keuze mogelijk was (een cookiemuur). Ook dat is niet volgens de AVG.
Communicatie met Facebook
Verder werd het netwerkverkeer van de apps van Coop, Deen, Jumbo, Jan Linders en Spar bestudeerd. Zij communiceerden met Facebook, zonder de gebruiker daarover ‘aan de voorkant’ te informeren. Zo kan Facebook registreren wie bij welke supermarkt shopt, wanneer dat gebeurt en met welke telefoon.
AH, Aldi en Lidl nagenoeg foutloos
De apps en websites van Albert Heijn, Aldi en Lidl kwamen nagenoeg foutloos door de privacytest. Alleen in de iOS-versie van de AH-app zat een foutje: het was niet mogelijk om aangepaste cookie-instellingen op te slaan.
Hertest
Begin december deed de Consumentenbond een hertest, een paar weken nadat de Consumentenbond de supermarkten van de problemen op de hoogte hadden gebracht. Geen enkele van de vijf supermarkten bleek de wachtwoordproblemen te hebben opgelost. De Consumentenbond stelt de supers nogmaals op hun verantwoordelijkheid voor een goede beveiliging gewezen te hebben. Enkelen reageerden volgens de Consumentenbond dat ze pas later in actie konden komen, door corona en kerstdrukte.
Deka en Picnic hebben hun advertentiecookieproblemen opgelost en Coop en Picnic haalden het Facebookverkeer uit hun apps. Picnic en Deka waren de enige die door hun aanpassingen een hogere privacyscore kregen. Zij scoren nu 'goed'.
