Każdy internetowy zakup wiąże się z koniecznością podania danych osobowych kupującego. Jeśli wziąć pod uwagę, że kupujemy w sieci coraz droższe produkty, widmo rzeczywistego oszustwa w wirtualnym świecie staje się coraz bardziej prawdopodobne. Na problem bezpieczeństwa zakupów w sieci uwagę zwracają specjaliści z Poznańskiego Centrum Superkomputerowo Sieciowego. Opublikowali właśnie raport, który jasno pokazuje, jak wiele niebezpieczeństw czai się w sieci. Zespół Bezpieczeństwa PCSS poddał testom 50 wybranych sklepów internetowych w Polsce w celu sprawdzenia, na ile bezpieczne jest dokonywanie zakupów w tej formie - informuje Zbigniew Krzewiński z PCSS. Specjaliści PCSS podkreślają, że bazy danych klientów tworzone przez internetowe sklepy są łakomym kąskiem dla agencji reklamowych, konkurencji i wszelakich sieciowych oszustów i złodziei.

Trudno sobie wyobrazić, aby internauta musiał wpisywać hasło wchodząc na każdą podstronę danego serwisu. Trudno sobie wyobrazić, że kupując w internetowym sklepie nie można sprawdzić, co mamy już w koszyku i trudno sobie wyobrazić, że serwis nie pamięta, czy ktoś zagłosował już w intrnetowej sondzie... Dlatego wirtualny świat korzysta ze specjalnych mechanizmów, które zapamiętują wymieniane dane. Tak zwane "ciasteczka", podczas buszowania po danym serwisie, zamieszkują na komputerze internauty i w razie potrzeby przekazują serwerowi niezbędne informacje - na przykład login, podczas wchodzenia na podstronę. Cały problem polega na tym, że nieodpowiednio obsłużona wymiana "ciasteczek" może doprowadzić do nieumyślnego ujawnienia istotnych dla użytkownika informacji lub nawet przejęcia przez włamywacza sesji innego użytkownika – mówi dr inż. Norbert Meyer, kierownik Działu Komputerów Dużej Mocy PCSS. Okazało się, że w połowie przebadanych przez PCSS sklepów internetowych serwery udostępniające usługę są nieprawidłowo skonfigurowane - wyświetlają zbyt dużo informacji o błędach, które mogą być przydatne dla włamywacza planującego atak. Ciasteczka mają zbyt długi okres ważności – co zwiększa czas, w jakim napastnik może ją zaatakować, szczególnie jeśli użytkownik – a jest tak najczęściej – nie kończy sesji kliknięciem przycisku Wyloguj.

W takim przypadku internetowy włamywacz jest w stanie dokonać zakupów w imieniu innego użytkownika. Kolejnym zagrożeniem jest możliwość przejęcia danych osobowych legalnego użytkownika, bądź uzyskania informacji o specyficznych preferencjach i zainteresowaniach – co może posłużyć do szantażu lub wymuszenia. Bardzo łatwo byłoby też skutecznie utrudnić mu życie, wysyłając dziesiątki sfałszowanych zamówień drogich towarów, płatnych przy pobraniu. Jak więc zadbać o bezpieczeństwo kupujących w sieci? Najwięcej pracy do wykonania leży po stronie dostawców usług i administratorów serwisów – mówi Błażej Miga z Zespołu Bezpieczeństwa PCSS. – Zadaniem tych pierwszych jest odpowiednie oprogramowanie obsługi przesyłanych informacji. Niemal wszystkie badane sklepy pomijają rozwiązania dodatkowo podwyższające bezpieczeństwo transakcji. Administratorzy powinni tak konfigurować serwery, aby nie wyświetlały one użytkownikom zbyt wielu informacji o błędach, taka sytuacja powinna mieć miejsce tylko w środowisku testowym.

A jak może bronić siebie, swoje dane osobowe i pieniądze klient sklepów internetowych? Specjaliści z Poznańskiego Centrum Superkomputerowo Sieciowego sugerują dwa sposoby. Po pierwsze, wybierać sklepy korzystające z bezpiecznych połączeń - czyli te, których adres zaczyna się od https: i wyświetlają u dołu ekranu żółtą kłódkę. Należy także pamiętać, że gdziekolwiek się logujemy, trzeba potem się wylogować - zamknięcie strony może nie wystarczyć. No i oczywiście, nie wolno klikać na przesłane nam linki niewiadomego pochodzenia.