Webshop met 50.000+ klanten beveiligd
Een groeiende Nederlandse fashion webshop ontdekte dankzij onze scan kritieke kwetsbaarheden in hun betaalgateway die konden leiden tot creditcardfraude.
Bedrijf A
E-commerce / Retail
15 medewerkers
Scan Resultaten
Een groeiend bedrijf, een groeiend risico
Bedrijf A is een snelgroeiende Nederlandse fashion webshop die in vijf jaar tijd is uitgegroeid van een kleine startup naar een platform met meer dan 50.000 geregistreerde klanten en een jaarlijkse omzet van enkele miljoenen euro's. Hun WooCommerce-gebaseerde platform verwerkt dagelijks honderden bestellingen.
Na een reeks nieuwsberichten over datalekken bij andere webshops besloot de directie een security audit te laten uitvoeren. "We hadden geen idee hoe veilig onze website eigenlijk was," vertelt de eigenaar. "We vertrouwden op onze hostingpartij en dachten dat alles wel goed zat."
De timing bleek cruciaal: slechts twee weken voor Black Friday - hun drukste periode van het jaar - werd de scan uitgevoerd.
Wat we ontdekten
Onze uitgebreide scan bracht 7 beveiligingsproblemen aan het licht, waarvan 2 als kritiek werden geclassificeerd.
SQL Injection in zoekfunctie
De zoekfunctie van de webshop was kwetsbaar voor SQL injection aanvallen. Een kwaadwillende aanvaller had hiermee toegang kunnen krijgen tot de volledige database, inclusief klantgegevens, bestelhistorie en gehashte wachtwoorden.
Potentiële impact:
- • Toegang tot 50.000+ klantrecords
- • Creditcardgegevens (laatste 4 cijfers + vervaldatum)
- • Complete bestelhistorie
Onbeveiligde betaal-callback
De callback URL van de payment provider was niet correct gevalideerd. Dit maakte het mogelijk om betalingsstatussen te manipuleren, waardoor bestellingen als "betaald" gemarkeerd konden worden zonder daadwerkelijke betaling.
Potentiële impact:
- • Gratis producten bestellen
- • Financieel verlies van duizenden euro's
- • Fraude door derden
Zwakke admin wachtwoorden
Drie van de vijf admin accounts gebruikten zwakke wachtwoorden die binnen minuten gekraakt konden worden. Eén account gebruikte zelfs "webshop2019" als wachtwoord.
Database backup publiek toegankelijk
Een automatische database backup werd dagelijks opgeslagen in een publiek toegankelijke map. Dit bestand bevatte alle klantgegevens in onversleutelde vorm.
Overige bevindingen (3)
Ontbrekende security headers
CSP, X-Frame-Options en andere belangrijke headers ontbraken.
Verouderde plugins
4 WooCommerce plugins waren meer dan 6 maanden niet geüpdatet.
Geen rate limiting
Login pagina had geen bescherming tegen brute force aanvallen.
Binnen 48 uur opgelost
Na ontvangst van ons uitgebreide rapport ging het development team direct aan de slag. Dankzij onze duidelijke, stapsgewijze instructies konden alle kritieke problemen binnen 48 uur worden opgelost.
De SQL injection werd verholpen door het implementeren van prepared statements. De betaal-callback werd beveiligd met een geheime sleutel en IP-whitelisting van de payment provider.
Twee weken later, vlak voor Black Friday, voerden we een gratis herhaalscan uit. De score was gestegen van 42 naar 94 - een verbetering van maar liefst 52 punten.
Dag 1: Security Scan
Uitgebreide scan van website, API's en servers uitgevoerd.
Dag 2: Rapport & Advies
Gedetailleerd PDF rapport met alle bevindingen en oplossingen geleverd.
Dag 3-4: Implementatie
Alle kritieke en hoge bevindingen door developer opgelost.
Dag 14: Herhaalscan
Gratis verificatiescan bevestigt score van 94/100.
"Zonder Whitehat Security waren we met Black Friday mogelijk slachtoffer geworden van fraude of erger. De investering van €689 heeft ons waarschijnlijk tienduizenden euro's aan schade bespaard."
Anoniem
Eigenaar, Bedrijf A
Bekijk meer use cases
Ontdek hoe we andere bedrijven hebben geholpen