Csalók szerezhetik meg az interneten vásárlók adatait, mert sok portálon a minimális biztonsági előírásokat sem tartják be, derül ki a kancellár.hu átfogó elemzéséből, ami tizenkét magyar webes bolt védettségét vizsgálja.
Gyenge jelszavak védik az internetes boltok felhasználói profiljait, a kereskedők nem tájékoztatják az ügyfeleiket arról, hogy miként védhetik meg az adataikat, és vannak olyan boltok, ahová a hekkerek nyugodtan feltölthetnek javascriptet (dinamikus tartalmat), amellyel a felhasználó adatai ellophatók. A kancellár.hu szakértői tizenkét ismert magyar portált vizsgáltak meg, de nem árulták el, hogy hol milyen hibák vannak. Bártfai Attila, a cég üzletfejlesztési igazgatója az Indexnek elmondta, hogy nem szerettek volna tippeket adni a támadóknak.
A bolti hozzáférést a felhasználóknak érdemes erős jelszóval védeniük, mert a rosszindulatú támadók kényes információkat lophatnak el, például a emailcímüket, a számlázási címüket és a telefonszámukat. Ennek ellenére csak a boltok 30 százaléka közli a regisztrálókkal, hogy miként lehet biztonságosabbá tenni a belépést. Az aukciós portálok szigorúbbak, nem engednek egyszerűen kitalálható jelszót választani. Van azonban olyan áruház, ahol egykarakteres jelszót is átengedtek, de általában 4 karakter a minimum, mondta Bártfai Attila.
Ha a portálok nem is közlik, mi eláruljuk, hogy a jelszó akkor biztonságos, ha van benne különleges karakter, szám, valamint kis és nagy betű.
Nyílt titok
További gond, hogy a vizsgált oldalak több mint 90 százaléka a titkosítás nélkül fogadja a belépési azonosítókat és a jelszavakat. Ezeket a weboldalakat internetkávézóban és nyilvános wifi kapcsolaton nem érdemes felkeresni, mert a támadók megfejthetik a belépési adatokat. Szerencsére a pénzügyi tranzakciókat mindegyik portál közvetlenül a banki szervereken intézi el, és a bankkártya adatai titkosított csatornán közlekednek.
A boltok egy része a komolyabb adatlopási technikák – például a cross site scripting – ellen sem védekezik. Ez a támadás akkor megvalósítható, ha egy szövegbeviteli dobozban, például egy fórumban nem tiltják be a javascript kódok behelyezését. A támadó bejelentkezik, feltölti a programját, és amikor a következő látogató betölti a fórumot, lefut a javascript a böngészőjében. A kártékony kód begyűjti a célpont bejelentkezési adatait, és elküldi egy szerverre, amely teljesen automatizáltan támadást indíthat. Az idegen felhasználó adataival bejelentkező támadók elvehetik az illető összes személyes adatát, de akár hamis aukciókat is indíthatnak.
A törvények betartásával is gond van. Néhány portálon egyáltalán nem, vagy csak nehezen lehet rájönni, hogy hol veszik vissza a terméket garanciális javításra, és a vizsgált weboldalak harmadán nincs adatvédelmi tájékoztató.
Kövesse az Indexet Facebookon is!
Követem!
