בעיית אבטחה באתרי מסחר אלקטרוני בארץ
אתרי קניות מובילים בארץ עושים, אמנם, שימוש בטכנולוגיית אבטחת המידע SSL, ומצפינים חלק מפרטי הגולשים, אולם לא תמיד מקפידים לעשות בכל שלבי העברת הנתונים
אתרי הקניות המובילים בארץ ובעולם מתהדרים בתווית אבטחת SSL (טכנולוגיית Secure Sockets Layer), שלרוב מגובה בתעודה עדכנית מטעמה של אחת מחברות האבטחה הגדולות בעולם, כגון Twath או VeriSign, המורשות להנפיק תעודות אימות דיגיטליות.
כתוצאה מכך, סבורים הגולשים כי הנתונים הנשלחים לאתר - בהם שם משתמש, סיסמה, מספר כרטיס אשראי, כתובת וכיוצא באלה - מוגנים, אינם חדירים לפריצה, וליתר בטחון, גם מוצפנים.
אולם, מבדיקת ynet עולה תמונה שונה, על פיה הנתונים אמנם מוגנים ומוצפנים, אולם רק באופן חלקי. אתרי אינטרנט ישראלים שונים, ובמיוחד וואלה שופס ו-Getit, מצפינים רק את פרטי האשראי, אולם אינם עושים כן בנוגע לפרטי הלקוח, כמו שם משתמש וסיסמה.
"הצפנת ה-SSL מבוצעת רק על תהליך מסירת פרטי כרטיס האשראי והרכישה עצמה. אין הצפנה של תהליך זיהוי המשתמש שמבוצע בצורה החשופה להאזנה וגניבת מידע", הסביר לנו אורן פז, יועץ טכנולוגיות בכיר (CISSP) בחברת CA ישראל.
כיצד זה משפיע בפועל?
אם תבחרו לגלוש באתרים אלה בחיבור אלחוטי, מבוסס Wi-Fi או טכנולוגיה אחרת, בעיית האבטחה מחמירה שבעתיים, מאחר והתקשורת עצמה אינה מאובטחת ומוצפנת.
כלומר, כאשר גולשים בחיבור קווי רגיל, ספקי האינטרנט מספקים הצפנה תשתיתית של המידע המועבר, אולם בחיבור אלחוטי, בין אם מהבית או דרך נקודות חמות במקומות ציבוריים, בו רובנו לא מקפידים על נקיטת אמצעי אבטחה משביעי רצון, יוכל כל אדם שנמצא בטווח הקליטה שלנו להאזין (Sniff) לתקשורת עם האתר, ולקבל גישה מהירה וקלה לשם המשתמש והסיסמה שאנחנו מקלידים.
"מכיוון שהזיהוי נעשה ב-HTTP ללא הצפנת SSL (פרוטוקול HTTPS), פרטי הזיהוי מועברים בטקסט גלוי ולא מוצפן. כל מה שצריך אותו "האקר מצותת" לעשות הוא לקרוא את הפרטים שהוזנו, להיכנס איתם לאתר הרלוונטי, להתחזות לכם ולבצע קניות שונות תחת זהותכם. ולא משנה בכלל שפרטי כרטיס האשראי מוצפנים, הרי בפועל ניתן לגנוב את הזהות מלכתחילה, יחד עם פרטי כרטיס האשראי שמשוייכים אליהם באתרים אלו", מסביר פז.
לדבריו, הדבר שקול לנעילת דלת במנעול מתוחכם, אולם הדבר אינו מסייע לאבטחת הלקוח, מאחר ומהנעול מותקן על דלת השירותים.
אתרי מסחר בחו"ל מקפידים על אבטחה מהרגע הראשון
ראוי לציין כי באתרי מסחר בחו"ל, ביניהם eBay, מייסיס ובלומינגדיילס למשל, המצב אינו דומה, והם מצפינים את הנתונים החל מהרגע הראשון.
ב-eBay לדוגמה, מדגישים בפני הגולש כי: "למטרות אבטחה, eBay משתמשת בטכנולוגיית SSL. הסיסמה שלכם מוצפנת באופן אוטומטי בעת הכניסה לאתר. ודאו כי כתובת האתר בעמוד הכניסה מתחילה ב-https", כאשר ה-HTTPS פירושו עמוד המוגן ב-SSL".
לשם השוואה, ניתן לראות כי באתרים הישראלים, עמודי הכניסה אינם פועלים בפרוטוקול HTTPS המאובטח, אלא ב-HTTP סטנדרטי.
מדוע האתרים אינם מקפידים על כך?
פז: "לא ברור, משום שמדובר בסך הכל בהגדרה בשרת, שפשוט לא חשבו עליה. זה לא עולה שקל. אי אפשר להגיד שאין תשתית ומשאבים, זה עניין של לסמן V בשרת, וזה סיכון מודע של המשתמשים. אנשים פשוט לא מודעים לזה".
ומה גולשים יכולים לעשות כדי להתגונן או לוודא שהם מוגנים?
"זו בעיה, כי המשתמש הפשוט לא יכול לעשות הרבה. יש כמה צעדים בסיסיים: קודם כל, לבדוק את תעודת האימות ואת תאריך התפוגה שלה (הקליקו פעמיים על אייקון המנעול בתחתית העמוד). שנית, מומלץ לבדוק איך האתר מגן עליכם. קיראו את התקנון ואת מדיניות האבטחה של האתר, ובמקרה של שאלה - לפנו למוקד שירות הלקוחות של האתר ולברר. למרות שגם שם בדרך כלל לא יודעים לתת תשובות, וזו בפירוש בעיה".
"נסו להגדיל ראש ולפקוח עינים", ממליץ פז, שסבור שמן הראוי להקים גוף שיפקח על עניין. בסופו של דבר, הוא אומר, "אתם לא יכולים לדעת אם אתם לא שמים את כספכם על קרן הצבי. ראו הוזהרתם".
תגובת וואלה שופס
"כאתר מוביל, מקפידה וואלה! שופס על סטנדרטים גבוהים בכל הקשור לאבטחת האתר. בין היתר, מעסיקה וואלה שופס חברות מקצועיות, המתמחות בנושא אבטחת המידע ואשר מבצעות עבורנו בדיקות אבטחה תקופתיות.
מיד עם קבלת פנייתך הועברה הפניה לגורמים המקצועיים אשר בדקו את הנושא. הנושא שעלה בפנייתך מוכר לנו. בוואלה! שופס לא קיימת בעיית אבטחה כאמור, שכן בעת העברת הפרטים (שם המשתמש והסיסמה) ממחשבו של הגולש לשרתי חברתנו המידע מוצפן באמצעות פרוטוקול SSL (למרות שהדף עצמו אינו מוצפן).
כאתר המקפיד על רמת אמינות גבוהה, תמשיך וואלה שופס להשקיע במניעת אפשרות לפרצות, ובהגנת המידע של לקוחותיה. כאשר מבצעים פעולה של העברת מידע באתר (החל משלב רישום הפרטים ולחיצה על כפתור המשך בדף מכירה) מבוצעת הצפנה של המידע המועבר, כך שגם אם הגלישה היא אלחוטית ומישהו הצליח (דבר שמהווה עבירה פלילית כשלעצמו) בדרך לחדור ולאסוף את הפרטים, הוא אינו יכול לעשות בהם כל שימוש שכן הם מוצפנים. לפיכך גם אצלנו קיימת הגנה על כל הפרטים שמועברים מהגולשים לרבות פרטי המשתמש החל משלב הרישום ואין באתר בעיית אבטחה כאמור בפנייתך".
תגובת Getit
"עקב התרחבות הרשתות האלחוטיות ברחבי הארץ , בעיה זו אכן עלתה בתקופה האחרונה. אי לכך, אתר Getit עובר בימים אלו ממש תהליך של שדרוג, רענון ושיפור ממשקי ומאגרי חשבונות הלקוחות הרשומים בו". כאשר שאלנו האם האתר היה מודע לבעיה, מה הצפי לתיקונה, ואם יש לקוחות שנפגעו ממנה - לא זכינו לתשובה.
הבעיה חמורה יותר בחיבור אלחוטי
מומלצים
