Tæknivefur afhjúpaði að margar íslenskar vefverslanir voru berskjaldaðar

Óörugg meðhöndlun persónuupplýsinga

Jón Ólafsson tók saman svartan lista yfir fyrirtæki og vefverslanir, sem bjóða upp á  ný- og innskráningar þar sem persónuupplýsinga er krafist, sem ekki uppfylltu sjálfsagðar netöryggiskröfur.
Afhjúpaði bresti Jón Ólafsson tók saman svartan lista yfir fyrirtæki og vefverslanir, sem bjóða upp á ný- og innskráningar þar sem persónuupplýsinga er krafist, sem ekki uppfylltu sjálfsagðar netöryggiskröfur.

„Það er eiginlega bara sorglegt að þetta skuli vera svona árið 2017,“ segir Jón Ólafsson, ritstjóri tæknivefsíðunnar lappari.com, sem á dögunum birti umfjöllun um vefsíður sem hann ætlaði að varast. Ástæðan var einföld. Jón, sem áhugamaður um netöryggismál, hafði á vafri sínu um netið uppgötvað að ríflega tuttugu vefsíður íslenskra fyrirtækja voru ekki eins öruggar og þær gætu verið fyrir notendur sem þar gátu verið að senda inn ýmiss konar persónuupplýsingar, jafnvel greiðslukortaupplýsingar. Jón tók því saman lista yfir fyrirtækin og birti á vef sínum sem vakti töluverð viðbrögð. Mörg fyrirtækjanna brugðust skjótt við og bættu úr, en Jón segir mikilvægt fyrir almenning að vera meðvitaður um öryggi sitt á vefsíðum og í vefverslunum.

Eins og gamli sveitasíminn

Það sem kom í ljós í athugun Jóns var að fjölmargar vefsíður voru ekki með samskiptastaðalinn HTTPS uppi á innskráningarhlutum vefja sinna. HTTPS er staðall fyrir öruggari samskipti yfir internetið og miðar að því að tryggja að samskipti notenda við vefsíður sem fara fram yfir HTTP séu dulkóðuð og því varin fyrir ýmiss konar árásum og upplýsingaþjófnaði. Í stuttu máli er HTTPS staðfesting á að vefurinn sem þú vilt heimsækja sé sá sem hann segist vera, dulkóðun samskipta, auðkenna og persónulegra upplýsinga notenda er varin. Jón bendir á að HTTPS sé ekki fullkomið en það sé einn liður í því að gæta öryggis notenda og ætti því að vera regla frekar en undantekning.

„Það er hægt að líkja þessu við gamla sveitasímann í samanburði við nútíma símakerfi. Það er bara þannig að ef þessi öryggislausn er ekki á þá getur í raun hver sem er „hlustað“ á pakkana sem þarna eru að fara á milli notanda og vefsíðu. Alveg sama hvort það séu leyniorð eða greiðslukortaupplýsingar. Þetta skiptir gríðarmiklu máli.“

Svona birtist örugg síða í vefslóð vafra þíns ef vefurinn sem þú ert að nota er í HTTPS. Grænn öryggislás, „Secure“ vottorð og HTTPS í slóðinni. 
Fyrir neðan má sjá hvernig vefslóð birtist ef síðan er bara í hefðbundnu, óöruggu HTTP.
Öruggari tenging Svona birtist örugg síða í vefslóð vafra þíns ef vefurinn sem þú ert að nota er í HTTPS. Grænn öryggislás, „Secure“ vottorð og HTTPS í slóðinni. Fyrir neðan má sjá hvernig vefslóð birtist ef síðan er bara í hefðbundnu, óöruggu HTTP.
Mynd: Skjáskot
Mynd: Skjáskot

Afsláttur á öryggi

Jón kveðst hafa verið að vafra um tiltekna síðu þar sem hann hugðist nýskrá sig sem notanda en tók þá eftir að það vantaði græna lásinn sem á að birtast fyrir framan vefslóðina í vafranum með yfirlýsinguna um að tengingin sé „Secure“ eða örugg. (Sjá mynd).

„Ég fór þá að velta fyrir mér hvort þetta væri svona víðar og tók mér nokkrar mínútur í að flakka milli vefsíðna fyrirtækja sem ég mundi eftir og þar kom upp þessi listi, 21 fyrirtæki sem ekki var að sinna þessu rétt. Úr varð þessi bolti og það er búið að vera áhugavert að fylgjast með þessu.“

Dæmin sem Jón tók í umfjöllun sinni voru um vefverslanir og síðan innskráningarform þar sem notendur eru að skrá sig á póstlista og þess háttar. Hann segir að allur vefurinn eigi án undantekningar að vera í HTTPS, en til vara þurfi öll form þar sem notendur eru að skrá inn persónuupplýsingar að fara fram yfir HTTPS. „Allt annað er afsláttur á öryggi mínu sem notanda hjá viðkomandi fyrirtæki. Við ættum að varast þannig form og láta viðkomandi fyrirtæki vita og biðja þá að laga sem fyrst,“ skrifar Jón á lappari.com. Þar birtir hann einnig skýringarmyndband frá netöryggissérfræðingnum Troy Hunt sem sýnir hversu auðvelt það er að komast yfir notendanöfn, lykilorð og aðrar upplýsingar ef vefsíður eru ekki í þessum öryggisstaðli, HTTPS.

Misjöfn viðbrögð

Níu fyrirtæki höfðu samband við hann strax um helgina þar sem þau þökkuðu honum ábendinguna og bættu úr með þeim orðum að þau viðurkenndu að þessir hlutir þyrftu að vera í lagi. Því er Jón sammála.
„Eitt fyrirtæki tók þessa óstinnt upp og sagði að ég hefði átt að fara með þessar athugasemdir beint til þeirra og gefa þeim færi á að laga þetta. Að setja þessa vottun á tekur 10 mínútur fyrir vana menn og í mínum huga er ekki réttlætanlegt að vera ekki með hana á. Þetta er bara sofandaháttur.“

Stór fyrirtæki á meðal

Svarta listann sem Jón birti á lappari.com hefur hann síðan uppfært eftir því sem viðkomandi fyrirtæki hafa tekið við sér og bætt úr. Athygli vekur að meðal fyrirtækja þar sem þessi mál voru í ólestri voru vefsíður bókhaldsfyrirtækisins Notando.is, Elko, Tölvulistinn, Byko, Húsasmiðjan og Rúmfatalagerinn, svo dæmi séu nefnd. Öll þeirra fyrirtækja sem hér eru nefnd, höfðu þó bætt úr þessu þegar þetta er skrifað.

„Punkturinn hjá mér var að vekja fólk til umhugsunar og vitundar um að skoða þetta og hvort, þegar það er að slá inn notandanafn, leyniorð eða hvað sem er, þessi græna öryggistilkynning sé uppi í horninu.“
Jón kveðst ætla að halda áfram að vakta vefsíður fyrirtækja með þessum hætti.

Viltu lesa meira? Þú getur strax lesið þessa grein og aðrar í heild sinni hér á DV.is með því að ýta á „Sjá meira“ og nýta þér hagstæða áskriftartilboð frá aðeins 928 kr. á mánuði.
Sjá meira »
Gleymt lykilorð?
Auglýsing

Athugasemdir

Athugasemdir eru á ábyrgð þeirra sem þær skrá. DV áskilur sér þó rétt til að eyða ummælum sem metin verða sem ærumeiðandi eða ósæmileg. Smelltu hér til að tilkynna óviðeigandi athugasemdir.