Praktisks pētījums par Latvijas interneta veikalu drošības problēmām

Kategorija: Datu drošība

Lai novērtētu interneta veikala drošību, esam sagatavojuši 10, mūsuprāt, būtiskus kritērijus, ar kuriem pārbaudīt izvēlētos veikalus. Kritēriji izvēlēti tā, lai tos būtu iespējams pārbaudīt bez nepieciešamības sazināties ar interneta veikala īpašnieku un tajā pašā laikā, nepārkāpjot likumu. Te arī būtu jāpaturpina par pētījuma ierobežojumiem – rūpīga tīmekļa lapas ievainojamību pārbaude ir “hakošana”, ko nedarījām, tāpēc nav garantijas, ka, piemēram, klientu datiem, tiekot pārsūtītiem droši, tie nebūs nozogami, izmantojot acij neredzamas tehniskas nepilnības.

Vērtēšanas kritēriji:

1. Komunikācija starp jūsu pārlūku un portālu ir šifrēta – veikals izmanto SSL. Par šo varam pārliecināties, pievēršot uzmanību interneta pārlūka adreses laukam, ja redzam, ka adrese sākas ar https, tad komunikācija tiek šifrēta.
2. Veikala portāls, to pārlūkojot, uzrāda tehniskus kļūdu paziņojumus. Atsevišķas saites vai funkcionalitāte nestrādā. Šādas problēmas liecina par neprofesionāliem portāla izstrādātājiem un/vai uzturētājiem, kas var radīt draudus Jūsu datu drošībai. Līdzekļu taupīšana uz tik būtiskām lietām liek apšaubīt godprātīgu rīcību citu problēmu gadījumā.
3. Veidojot lietotāja paroli reģistrācijai mājas lapā, būtiski, lai pastāvētu paroles garuma un sarežģītības noteikumi un tiem neatbilstošas paroles netiktu pieņemtas. Tādejādi tiek domāts par veikala klientu kontu drošību.
4. Aizmirstu paroli iespējams atgūt drošā veidā. Piemēram, paroli sūtīt lietotājam uz e-pastu nav ieteicams, jo pastāv risks, ka kāds to nolasīs. Labāks risinājums ir izmantot saiti atpakaļ uz veikala lapu, kur tiek piedāvāts izveidot jaunu paroli. Šai saitei jābūt ar ierobežotu derīguma termiņu un jāatpazīst lietotāja sesija.
5. Interneta veikalā atrodams aktīvs tālruņa numurs klientu atbalstam un uzņēmuma fiziskā adrese.
6. Norēķinoties tiek akceptēti ne tikai pārskaitījumi uz kontu un debetkartes, bet arī kredītkartes. Kredītkartes dod pircējam papildus aizsardzību – iespēju atcelt darījumu, turpretim pakalpojuma sniedzējam nepieciešams reģistrēties pie karšu izsniedzējiem, uzrādot dažādus dokumentus.
7. Interneta veikalam ir izstrādāta un ir pieejama privātuma atruna – izskaidrots kā notiek apmeklētāju personas datu aizsardzība. Pakalpojuma sniedzējs nepieprasa par daudz personas datu.
8. Eksistē preču atgriešanas noteikumi – preci iespējams atgriezt.
9. Lietotāju atsauksmes neatkarīgos portālos. Iepērkoties internetā, būtiski ir pārbaudīt veikala reputāciju, par pamatu tam ņemot citu klientu pieredzi. Tiek izmantoti salidzini.lv klientu sniegtos vērtējumus skalā 1-5.
10. Tehnoloģiju novērtējums. Vai izmanto atjauninātas versijas, novecojušas komponentes, vai komponentes ar būtiskām ievainojamībām.

Secinājumi bēdīgi. Neviens i-veikals nenodrošina šifrēšanu visās i-veikala sadaļās. Cits jautājums, vai tas īpaši apdraud i-veikalu lietotājus. Būtiskāk ir tas, kā servera pusē tiek aizsargāta lietotāju datubāze (pētījums rāda, ka daži i-veikali satur pazīmes par iespējamu SQL injekciju izpildi).

Avoti:
CERT.LV: http://tvinet.lmt.lv/CERT_konference_20151001_zale1_Aigars_Naglis.mp4
DPA: http://blogs.dpa.lv/2015/10/01/klienta-drosiba-latvijas-interneta-veikalos-praktisks-petijums/

 

Follow defenselv

2015-10-18  »  edgars