Nem minden webbolt biztonságos

A magyarországi elektronikus kereskedelmi helyek biztonsága és a különböző törvényi szabályozóknak való megfelelőségük erősen változó.

A karácsonyi vásárlási roham kezdete előtt a kancellár.hu Zrt. biztonsági szakértői egy tucat elektronikus kereskedelmi egység informatikai biztonságát és adatvédelmi megfelelőségét vették górcső alá, meglepő eredménnyel. A vizsgálatokra november második felében került sor, melynek keretében Magyarország 12 jelentős - független szervezet által kiválasztott - virtuális áruházát látogatták meg az információ és adatbiztonság szakértői.

A felmérések próbavásárlások segítségével történtek, melynek során a szakértők elemezték a vásárlás folyamatát és a rendszerek látható részeinek biztonságát. A vizsgált oldalak több mint 90%-a a felhasználó név, jelszó és egyéb érzékeny adatokat titkosítás nélkül fogadta. Kivételt csak a hitelkártyás tranzakció adatok képeztek, melyek közvetlenül a banki szerverekre jutnak el. A vásárlók munkamenetei több esetben is eltulajdoníthatónak bizonyultak, mely személyes adatok kiszivárgásához, a felhasználó identitásának ellopásához vezetnek.

A legtöbb esetben teljes mértékben hiányzik vagy legalábbis részleges a fogyasztók érdekeinek érvényesítését segítő tájékoztatás. Az adatvédelmi szabályzatok hiányosak, a legtöbb adatkezelő elmulasztotta az adatvédelmi biztosnak - nyilvántartásba vétel végett - jelenteni tevékenységét. Végső következtetésképp megállapították, hogy a vásárlóknak a saját számítástechnikai környezetük frissen és biztonságosan tartásán túl (tűzfal, vírus és kémprogram védelem stb..), nagy figyelmet kell szentelniük a megfelelő kereskedő kiválasztására. Nem megfelelő webshop választás miatt előfordulhat, hogy adataikat harmadik személy rendelkezésére bocsátják, vagy a titkosítatlan adatkapcsolat, gyenge jelszóválasztás miatt visszaélnek azonosítóikkal.

"A megvizsgált rendszerekből csak egy használ titkosított (SSL - Secure Socket Layer) adatkapcsolatot a vásárlói regisztráció és beléptetés során. Az összes többi áruház esetében az interneten könnyedén lehallgatható formában utaznak a vásárlói adatok, úgy mint felhasználói azonosító, szállítási cím, email cím, jelszó stb." - emelte ki Bártfai Attila a cég üzletfejlesztési igazgatója a felmérés vezetője. "Pozitívumként emelhető ki, hogy azon esetekben mikor a vásárló a kártyás fizetést választotta, a pénzügyi tranzakció a bank által üzemeltetett szerveren megy végbe, ahová az adatok titkosítottan jutnak el." - tette hozzá. További feltárt jellemzők: A jelszavak komplexitására vonatkozó ajánlást a boltok mindössze 30%-a tesz. (Hány karakter legyen minimum a jelszó, milyen karaktereket tartalmazzon.) Láthatóan az aukciós web helyek a legszigorúbbak ebben a tekintetben, ők nem engednek túl rövid vagy egyszerűen kitalálható jelszót választani. A felhasználók jelszavainak szótár alapú próbálgatással történő kitalálása ellen nem védenek a boltok, nincs felhasználói azonosító kizárás pár percre vagy lassított válaszadás 3-4 sikertelen bejelentkezés után.

A boltok egy része érzékeny a munkafolyamat lopásra, amelynek segítségével egy másik felhasználó jogosultságaihoz és adataihoz lehet jutni. A probléma kivédhető az üzemeltető által a felhasználók által bevitt fórum hozzászólások, termék értékelések megfelelő szűrésével. Több webbolt kockázatosan sok alkalmazást futtat az értékesítésre felállított szerveren. A vizsgálatok során a bolti szervereken voltak postafiók, név szerver, fájl transzfer, VPN, távmenedzsment, időszerver és üresen hagyott web kiszolgálókat.

A vizsgált webáruházak egyharmada egyáltalán nem rendelkezik adatvédelmi tájékoztatóval, egyharmada készített rövid ("mutatóba készült") adatvédelmi irányelveket (a jogszabály szövegét kiollózva, de semmit nem konkretizálva) és csupán egyharmada készített az Avtv. rendelkezéseit szem előtt tartva megfelelő, a jogszabály által előírt, minden tartalmi elemet szabályozó adatvédelmi szabályzatot.

Az adatvédelmi törvény szerint nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek adatait tartalmazza. Amennyiben azonban az adatkezelő például hírlevél kiküldéséhez vagy fórum működtetése során személyes adatokat kezel, köteles azt az adatvédelmi biztosnak nyilvántartásba vétel végett jelenteni. A vizsgált webáruházak kétharmada nem tett ilyen bejelentést az adatvédelmi nyilvántartásba.