SG.hu

Nem minden webbolt biztonságos

A magyarországi elektronikus kereskedelmi helyek biztonsága és a különböző törvényi szabályozóknak való megfelelőségük erősen változó.

A karácsonyi vásárlási roham kezdete előtt a kancellár.hu Zrt. biztonsági szakértői egy tucat elektronikus kereskedelmi egység informatikai biztonságát és adatvédelmi megfelelőségét vették górcső alá, meglepő eredménnyel. A vizsgálatokra november második felében került sor, melynek keretében Magyarország 12 jelentős - független szervezet által kiválasztott - virtuális áruházát látogatták meg az információ és adatbiztonság szakértői.

A felmérések próbavásárlások segítségével történtek, melynek során a szakértők elemezték a vásárlás folyamatát és a rendszerek látható részeinek biztonságát. A vizsgált oldalak több mint 90%-a a felhasználó név, jelszó és egyéb érzékeny adatokat titkosítás nélkül fogadta. Kivételt csak a hitelkártyás tranzakció adatok képeztek, melyek közvetlenül a banki szerverekre jutnak el. A vásárlók munkamenetei több esetben is eltulajdoníthatónak bizonyultak, mely személyes adatok kiszivárgásához, a felhasználó identitásának ellopásához vezetnek.

A legtöbb esetben teljes mértékben hiányzik vagy legalábbis részleges a fogyasztók érdekeinek érvényesítését segítő tájékoztatás. Az adatvédelmi szabályzatok hiányosak, a legtöbb adatkezelő elmulasztotta az adatvédelmi biztosnak - nyilvántartásba vétel végett - jelenteni tevékenységét. Végső következtetésképp megállapították, hogy a vásárlóknak a saját számítástechnikai környezetük frissen és biztonságosan tartásán túl (tűzfal, vírus és kémprogram védelem stb..), nagy figyelmet kell szentelniük a megfelelő kereskedő kiválasztására. Nem megfelelő webshop választás miatt előfordulhat, hogy adataikat harmadik személy rendelkezésére bocsátják, vagy a titkosítatlan adatkapcsolat, gyenge jelszóválasztás miatt visszaélnek azonosítóikkal.

"A megvizsgált rendszerekből csak egy használ titkosított (SSL - Secure Socket Layer) adatkapcsolatot a vásárlói regisztráció és beléptetés során. Az összes többi áruház esetében az interneten könnyedén lehallgatható formában utaznak a vásárlói adatok, úgy mint felhasználói azonosító, szállítási cím, email cím, jelszó stb." - emelte ki Bártfai Attila a cég üzletfejlesztési igazgatója a felmérés vezetője. "Pozitívumként emelhető ki, hogy azon esetekben mikor a vásárló a kártyás fizetést választotta, a pénzügyi tranzakció a bank által üzemeltetett szerveren megy végbe, ahová az adatok titkosítottan jutnak el." - tette hozzá. További feltárt jellemzők: A jelszavak komplexitására vonatkozó ajánlást a boltok mindössze 30%-a tesz. (Hány karakter legyen minimum a jelszó, milyen karaktereket tartalmazzon.) Láthatóan az aukciós web helyek a legszigorúbbak ebben a tekintetben, ők nem engednek túl rövid vagy egyszerűen kitalálható jelszót választani. A felhasználók jelszavainak szótár alapú próbálgatással történő kitalálása ellen nem védenek a boltok, nincs felhasználói azonosító kizárás pár percre vagy lassított válaszadás 3-4 sikertelen bejelentkezés után.

A boltok egy része érzékeny a munkafolyamat lopásra, amelynek segítségével egy másik felhasználó jogosultságaihoz és adataihoz lehet jutni. A probléma kivédhető az üzemeltető által a felhasználók által bevitt fórum hozzászólások, termék értékelések megfelelő szűrésével. Több webbolt kockázatosan sok alkalmazást futtat az értékesítésre felállított szerveren. A vizsgálatok során a bolti szervereken voltak postafiók, név szerver, fájl transzfer, VPN, távmenedzsment, időszerver és üresen hagyott web kiszolgálókat.

A vizsgált webáruházak egyharmada egyáltalán nem rendelkezik adatvédelmi tájékoztatóval, egyharmada készített rövid ("mutatóba készült") adatvédelmi irányelveket (a jogszabály szövegét kiollózva, de semmit nem konkretizálva) és csupán egyharmada készített az Avtv. rendelkezéseit szem előtt tartva megfelelő, a jogszabály által előírt, minden tartalmi elemet szabályozó adatvédelmi szabályzatot.

Az adatvédelmi törvény szerint nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza. Amennyiben azonban az adatkezelő például hírlevél kiküldéséhez vagy fórum működtetése során személyes adatokat kezel, köteles azt az adatvédelmi biztosnak nyilvántartásba vétel végett jelenteni. A vizsgált webáruházak kétharmada nem tett ilyen bejelentést az adatvédelmi nyilvántartásba.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • redfish #1
    Komolyan, ez már nevetséges, hogy a sok ingyenélő hogyan próbálja bizonygatni, hogy az ő munkájuk mennyire fontos...

    3 éve üzemeltetek webáruházakat (többet is, többfélét!) és emellett évek óta rendszeresen vásárolok a neten (belföldön, külföldön egyaránt, kb. hetente átlagban 3-4 alkalommal)...
    Mivel belülről is ismerem a rendszert, megnyugtatok mindenkit, hogy annyira titkosítva vannak a Vevők jelszavai, hogy még mi sem tudjuk megnézni, még mi sem tudjuk visszafejteni!!! (Ha a Vevő elfelejti a jelszavát, egy újonnan generált kódsort küld neki a rendszer automatikusan az email-címére.)

    Abszolút biztonságos, hogy a regisztrációról és a megrendelésről azonnal másolatot küld a rendszer a Vevő email-címére, tehát ha valaki mégis visszaélt volna az email-címével, arról rögtön értesül az érintett.

    Az évek során többezer Vevőnk eddig SOHA nem kapott csalótól kamu-megrendelést a nevében és soha nem szivárogtak ki a Vevők nevei, címei, telefonszámai...
    Sok-sok vásárlásom során sem tapasztaltam SOHA olyat, hogy bármelyik webáruházból kiszivárogtak volna az adataim (mindenütt jólfelfogott érdekük, hogy vigyázzanak a Vevőik személyes adataira!)...

    Érdekes, még soha senki nem rendelt a nevemben sem fakanalat, sem komplett szobabútort, sem szuperszámítógépet...

    NEVETSÉGES ez az egész álduma és ez az egész habverés a biliben...

    "...Amennyiben azonban az adatkezelő például hírlevél kiküldéséhez vagy fórum működtetése során személyes adatokat kezel, köteles azt az adatvédelmi biztosnak nyilvántartásba vétel végett jelenteni..."

    UGYANMÁÁÁ... Csak nem képzelik, hogy majd az Adatvédelmi Biztoshoz fogunk rohangálni, ha hírlevelet akarunk küldeni a Vevőinknek?!

    Ja..., ja... Mert ugye a Fórumokon mindenki mindig a legbizalmasabb személyes adatát írja be! (Ki az a hülye?!... Már a 8 éves gyerek is kamu nevet regisztrál és nem lesz hülye beírni a lakcímét!)

    Tényleg, már egész Európa rajtunk röhög a sok barom előírás miatt, amit itt kitalálnak nekünk : "hogyan-akadályozzuk-még-jobban-az-embereket-és-a-kereskedelmet"...

    Érdekes, hogy azon nem törik a fejüket a Nagyokosok, hogyan tudott kiszivárogni többezer egyetemista valóban nagyon személyes adata (név, lakcím, születési adatok, bankszámlaszáma, jelszavai, azonosítója, stb.) egy neves egyetem adatbázisából és félévig egy magán weboldalon bárki csemegézhetett a listából?... Az Adatvédelmi Biztosokat ez a kis momentum láthatólag nem nagyon zavarja...