Bezpieczne zakupy internetowe?

Przeczytaj także: Jak bezpiecznie kupować online?

Zespół Bezpieczeństwa PCSS poddał testom 50 wybranych sklepów internetowych w Polsce w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tej formie. Sklepy wybrano w losowy sposób spośród istniejących polskich rozwiązań tego typu. Przetestowano zarówno sklepy wykorzystujące technologie komercyjne (np. firmy Microsoft), jak i te wykorzystujące technologie typu Open Source.

Kontroli poddane zostały mechanizmy sesji (czyli konkretne połączenia przeglądarki użytkownika z serwerem) i tzw. ciasteczek - cookies (niewielkich porcji informacji zapisywanych na dysku użytkownika za pośrednictwem przeglądarki na żądanie serwera WWW i w razie potrzeby odsyłane z powrotem na serwer).

Zespół Bezpieczeństwa PCSS przeprowadził testy dotyczące różnych aspektów obsługi mechanizmów sesji oraz ciasteczek. Okazało się, że w połowie przypadków serwery udostępniające usługę e-sklepu są nieprawidłowo skonfigurowane. Wyświetlają zbyt dużo informacji o błędach, które mogą być przydatne dla włamywacza planującego atak. Niemal żaden z badanych e-sklepów nie stosuje dodatkowych mechanizmów, które utrudniłyby hakerowi włamanie.

Wykonane testy, zdaniem poznańskich specjalistów, pozwalają wysnuć niepokojący wniosek, że znaczna część oferentów usług e-Commerce nie wykonała należytej pracy nad zabezpieczeniem swoich serwisów. Bezpośrednie straty finansowe, jakie może ponieść użytkownik, z łatwością przekroczyć mogą kwotę kilku tysięcy złotych. Wyposażony w odpowiednią wiedzę włamywacz jest w stanie dokonać nieautoryzowanych zakupów w imieniu innego użytkownika (na przykład poprzez przejęcie kontroli nad jego sesją i zmianę miejsca dostawy zakupionego oraz opłaconego towaru).

Kolejnym zagrożeniem jest możliwość przejęcia danych osobowych legalnego użytkownika bądź uzyskania informacji o specyficznych preferencjach i zainteresowaniach - co może posłużyć do szantażu lub wymuszenia. Bardzo łatwo byłoby też - po przejęciu sesji konkretnego użytkownika - skutecznie utrudnić mu życie, wysyłając dziesiątki sfałszowanych zamówień drogich towarów, płatnych przy pobraniu.