Veszélyes karácsonyi bevásárlás?

A karácsonyi vásárlási roham kezdete előtt a kancellár.hu biztonsági szakértői egy tucat elektronikus kereskedelmi egység (továbbiakban, webshop, webbolt, virtuális áruház stb.) informatikai biztonságát és adatvédelmi megfelelőségét vették górcső alá, meglepő eredménnyel. A felmérések próbavásárlások segítségével történtek, melynek során a szakértők elemezték a vásárlás folyamatát és a rendszerek látható részeinek biztonságát.

Adatok titkosítás nélkül?
A technológia elemzések célpontja a megvalósítási hiányosságok feltárása volt, melyek közül az egyik legkritikusabb a titkosítatlan adatkommunikáció. „A megvizsgált rendszerekből csak egy használ titkosított (SSL - Secure Socket Layer) adatkapcsolatot a vásárlói regisztráció és beléptetés során. Az összes többi áruház esetében az Interneten könnyedén lehallgatható formában utaznak a vásárlói adatok, úgy mint felhasználói azonosító, szállítási cím, email cím, jelszó stb." - emelte ki Bártfai Attila a cég üzletfejlesztési igazgatója a felmérés vezetője. „Pozitívumként emelhető ki, hogy azon esetekben mikor a vásárló a kártyás fizetést választotta, a pénzügyi tranzakció a bank által üzemeltetett szerveren megy végbe, ahová az adatok titkosítottan jutnak el." - tette hozzá.

A biztonsági cég felmérései szerint a vizsgált oldalak több mint 90%-a a felhasználó név, jelszó és egyéb érzékeny adatokat titkosítás nélkül fogadja. Kivételt csak a hitelkártyás tranzakció adatok képeznek, melyek közvetlenül a banki szerverekre jutnak el. A vásárlók munkamenetei több esetben is eltulajdoníthatónak bizonyultak, mely személyes adatok kiszivárgásához, a felhasználó identitásának ellopásához vezetnek.

Több webbolt kockázatosan sok alkalmazást futtat az értékesítésre felállított szerveren. A sikeres külső támadások elkerülésére a biztonsági szakértők azt javasolják, hogy az üzemeltetők, az üzlet működtetéséhez nem feltétlen szükséges alkalmazásokat szüntessék meg, vagy telepítsék másik kiszolgálóra.

Jogok és kötelességek
A webáruházakban sokszor teljes mértékben hiányzik vagy legalábbis részleges a fogyasztók érdekeinek érvényesítését segítő tájékoztatás. Az adatvédelmi szabályzatok hiányosak, a legtöbb adatkezelő elmulasztotta az adatvédelmi biztosnak - nyilvántartásba vétel végett - jelenteni tevékenységét.

Probléma legtöbbször az, hogy a fogyasztók/vásárlók érdekeinek érvényesítését célzó rendelkezések esetében - mint elállás joga és gyakorlásának feltételei, szavatossági és jótállási igények érvényesítése, kifogások érvényesítésének helye - előfordul, hogy a tájékoztatás hiányzik, erősen hiányos, vagy csak hosszas és célirányos kutatással lelhető fel.

A vizsgált webáruházak egyharmada egyáltalán nem rendelkezik adatvédelmi tájékoztatóval, egyharmada készített rövid („mutatóba készült") adatvédelmi irányelveket (a jogszabály szövegét kiollózva, de semmit sem konkretizálva) és csupán egyharmada készített a törvény rendelkezéseit szem előtt tartva megfelelő, a jogszabály által előírt, minden tartalmi elemet szabályozó adatvédelmi szabályzatot.

Jelszavak és azonosítók
Végső következtetésképp megállapíthatjuk, hogy a vásárlóknak a saját számítástechnikai környezetük frissen és biztonságosan tartásán túl (tűzfal, vírus és kémprogram védelem stb..), nagy figyelmet kell szentelniük megfelelő kereskedő kiválasztására. Nem megfelelő webshop választás miatt előfordulhat, hogy adataikat harmadik személy rendelkezésére bocsátják, vagy a titkosítatlan adatkapcsolat, gyenge jelszóválasztás miatt visszaélnek azonosítóikkal.

A jelszavak komplexitására vonatkozó ajánlást a boltok mindössze 30%-a tesz. (Hány karakter legyen minimum a jelszó, milyen karaktereket tartalmazzon.) A felhasználók jelszavainak szótár alapú próbálgatással történő kitalálása ellen nem védenek a boltok, nincs felhasználói azonosító kizárás pár percre vagy lassított válaszadás 3-4 sikertelen bejelentkezés után.

A karácsonyi időszakon kívül is fontos, hogy a felhasználókban egyre inkább tudatosodjanak a biztonság alapkérdései, az azonosítók, jelszavak megfelelő megválasztása és védelme, az adathalász csapdák felismerése és az adatlopó programok elkerülése. Az év utolsó heteiben különösen fontos ezen íratlan és írott szabályok betartása, mivel csak így védhetők ki a számítógépes bűnözők kellemetlen meglepetései.