DPA sagatavojuši ļoti interesantu pētījumu par klienta drošību Latvijas interneta veikalos.

Saskaņā ar interneta lietotāju pētniecības uzņēmuma «Gemius» datiem pirkumus internetā gandrīz katru mēnesi veic 23% aptaujāto Latvijas interneta lietotāju, dažas reizes gadā to dara 35% respondentu, bet 18% internetā iepērkas reizi gadā vai retāk. Pielīdzinot šo statistiku savai pieredzei, kādam šķitīs, ka mūsu ļaudis aktīvi izmanto e-veikalus, cits nodomās cik gan esam vecmodīgi, tomēr uz Eiropas valstu fona atrodamies kaut kur pa vidu. Kas attur cilvēkus iepirkties internetā aktīvāk? Preces taču ir lētākas, izvēle lielāka un arī laiku var ietaupīt. Pārsvarā atbilde ir saistīta ar drošību – savu datu sniegšanu, šaubām par preces garantiju, atgriešanas iespējām un bailēm to nesaņemt vispār. Mēģināsim noskaidrot vai tiešām ir jābaidās un vai Latvijas lielākajos interneta veikalos iepirkties ir droši.

Nolēmām pārbaudīt desmit Google.lv skatījumā populārākās šāda veida vietnes. Pētījuma uzsākšanas brīdī pēc  Google.lv atgrieztajiem rezultātiem, pieprasot “interneta veikals” izveidojās šāds saraksts:

  1. 1a.lv
  2. 220.lv
  3. Expresshop.lv
  4. Xnet.lv
  5. Ololo.lv
  6. Sexystyle.lv
  7. Galaxy.lv
  8. 1shop.lv
  9. Vertulux.lv
  10. elektroniks.lv

Te gan jāņem vērā, ka Google pielieto personalizāciju un rekomendācijas, tāpēc šis saraksts, iespējams,  nedaudz atšķiras.

Lai novērtētu interneta veikala drošību, esam sagatavojuši 10, mūsuprāt, būtiskus kritērijus, ar kuriem pārbaudīt izvēlētos veikalus. Kritēriji izvēlēti tā, lai tos būtu iespējams pārbaudīt bez nepieciešamības sazināties ar interneta veikala īpašnieku un tajā pašā laikā, nepārkāpjot likumu. Te arī būtu jāpaturpina par pētījuma ierobežojumiem – rūpīga tīmekļa lapas ievainojamību pārbaude ir “hakošana”, ko nedarījām, tāpēc nav garantijas, ka, piemēram, klientu datiem, tiekot pārsūtītiem droši, tie nebūs nozogami, izmantojot acij neredzamas tehniskas nepilnības.

Ak, jā! Lai ieviestu vairāk intrigas, nolēmām piešķirt punktus par atbilstību katram no kritērijiem un rezultātā noskaidrosim veikalus, kas mūsu testus pārvarējuši visveiksmīgāk.

Vērtēšanas kritēriji:

  1. Komunikācija starp jūsu pārlūku un portālu ir šifrēta – veikals izmanto SSL. Par šo varam pārliecināties, pievēršot uzmanību interneta pārlūka adreses laukam, ja redzam, ka adrese sākas ar https, tad komunikācija tiek šifrēta.
  • SSL tiek izmantots veikala visās sadaļās (3 punkti)
  • SSL izmantots tikai ievadot jūtīgu informāciju (2 punkti)
  • Komunikācija netiek šifrēta (1 punkts)
  1. Veikala portāls, to pārlūkojot, uzrāda tehniskus kļūdu paziņojumus. Atsevišķas saites vai funkcionalitāte nestrādā. Šādas problēmas liecina par neprofesionāliem portāla izstrādātājiem un/vai uzturētājiem, kas var radīt draudus Jūsu datu drošībai. Līdzekļu taupīšana uz tik būtiskām lietām liek apšaubīt godprātīgu rīcību citu problēmu gadījumā.
  • Netiek uzrādīti kļūdu paziņojumi, pārbaudītās saites strādā (3 punkti)
  • Nenozīmīgas nepilnības (2 punkti)
  • Lietošanu bieži kavē tehniskas problēmas (1 punkts)
  1. Veidojot lietotāja paroli reģistrācijai mājas lapā, būtiski, lai pastāvētu paroles garuma un sarežģītības noteikumi un tiem neatbilstošas paroles netiktu pieņemtas. Tādejādi tiek domāts par veikala klientu kontu drošību.
  • Paroles minimums 8 simboli, kuros ir vismaz viens cipars, lielais burts un speciālais simbols (3 punkti)
  • Tiek uzspiesti paroles veidošanas noteikumi, tomēr tie neatbilst labākajai praksei (2 punkti)
  • Paroli var izvēlēties brīvi (1 punkts)
  1. Aizmirstu paroli iespējams atgūt drošā veidā. Piemēram, paroli sūtīt lietotājam uz e-pastu nav ieteicams, jo pastāv risks, ka kāds to nolasīs. Labāks risinājums ir izmantot saiti atpakaļ uz veikala lapu, kur tiek piedāvāts izveidot jaunu paroli. Šai saitei jābūt ar ierobežotu derīguma termiņu un jāatpazīst lietotāja sesija.
  • Paroli iespējams atgūt salīdzinoši drošā veidā (3 punkti)
  • Paroli nav iespējams atgūt vai tā tiek nosūtīta lietotājam nešifrētā veidā (1 punkts)
  1. Interneta veikalā atrodams aktīvs tālruņa numurs klientu atbalstam un uzņēmuma fiziskā adrese. 1 punkts par katru.
  • Pieejams tālruņa numurs
  • Portālā atrodama fiziskā adrese
  • Veikala darbībai ir reģistrēts uzņēmums
  1. Norēķinoties tiek akceptēti ne tikai pārskaitījumi uz kontu un debetkartes, bet arī kredītkartes. Kredītkartes dod pircējam papildus aizsardzību – iespēju atcelt darījumu, turpretim pakalpojuma sniedzējam nepieciešams reģistrēties pie karšu izsniedzējiem, uzrādot dažādus dokumentus.
  • Tiek pieņemtas kredītkartes, debetkartes un pārskaitījumi (3 punkti)
  • Tiek pieņemti tikai pārskaitījumi (2 punkti)
  • Tiek pieņemta tikai skaidra nauda (1 punkts)
  1. Interneta veikalam ir izstrādāta un ir pieejama privātuma atruna – izskaidrots kā notiek apmeklētāju personas datu aizsardzība. Pakalpojuma sniedzējs nepieprasa par daudz personas datu.
  • Ir izskaidrots un tiek pieprasīts darījumam nepieciešamais datu minimums (3 punkti)
  • Nav privātuma atrunas vai tiek pieprasīti lieki personas dati (1 punkts)
  1. Eksistē preču atgriešanas noteikumi – preci iespējams atgriezt.
  • Noteikumi ir – pieļauj preces atgriešanu un naudas atdošanu (3 punkti)
  • Noteikumi pieļauj preci tikai apmainīt pret citu (2 punkti)
  • Prece nav atgriežama vai nav informācijas (1 punkts)
  1. Lietotāju atsauksmes neatkarīgos portālos. Iepērkoties internetā, būtiski ir pārbaudīt veikala reputāciju, par pamatu tam ņemot citu klientu pieredzi. Tiek izmantoti salidzini.lv klientu sniegtos vērtējumus skalā 1-5.
  • 3.5-5 (3 punkti)
  • 2-3.5 (2 punkti)
  • 1-2 (1 punkts)
  1. Tehnoloģiju novērtējums.
  • Izmanto atjauninātas versijas (3 punkti)
  • Izmanto pāris, iespējams, novecojušas komponentes (2 punkti)
  • Izmanto novecojušas komponentes, vai komponentes ar būtiskām ievainojamībām (1 punkts)

Tad nu varam ķerties klāt un pielietot kritērijus katram no veikaliem. Viss pētījums tiks sasummēts un apkopots tabulā.. Interesantākie fakti tiks izcelti un nodemonstrēti ar attēliem.

1a.lv

Komunikācija starp klienta pārlūku un veikalu tiek šifrēta tikai grozā un pie pasūtījuma noformēšanas. 1a.lv var reģistrēties ar nedrošu paroli, piemēram, vienu ‘a’. Parole, to atgūstot, tiek atsūtīta e-pastā vienkāršā tekstā. Pieejami vairāki kontakttālruņi, reāla laika čats, Skype, adrese, darbojas kā oficiāli reģistrēts SIA. Norēķinu karšu opcija ir, taču tikai 1a.lv birojā – tas neskaitās. Privātuma atruna ir iekļauta lietošanas noteikumos, kuriem jāpiekrīt, formējot pasūtījumu. Izskaidroti garantijas noteikumi un atteikuma tiesības. Tīmekļa serverī izmantotās tehnoloģijas nav jaunākās, tomēr bez kritiskām ievainojamībām.

1a

220.lv

Saziņa starp klientu un veikalu tiek šifrēta tikai groza un pirkuma noformēšanas sadaļās. Parolei tiek pārbaudīts garums, taču ne sarežģītība. Paroles maiņa notiek lapā – e-pastā tiek atsūtīta tikai saite, tādējādi parole nevar tikt pārtverta ceļā starp e-pastu serveriem. Diennakts klientu apkalpošanas centrs, adrese, kompānija, karte, saites uz 220.lv sociālo tīklu lapām – viss viegli sameklējams. Karšu maksājumus pieņem tikai uz vietas veikalā. Ir izskaidrota datu drošība (pat vienkāršā valodā izskaidrots, kas ir SSL – mūsu pirmais kritērijs), taču pilnvērtīgas privātuma atrunas nav. Ir izskaidroti garantijas noteikumi un atteikuma tiesības. Servera tehnoloģijas tiek slēptas, kas varētu sarežģīt iespēju uzbrucējam piemeklēt gatavas, publiski zināmas ievainojamības.

Expressshop.lv

Jārēķinās, ka komunikācija ar veikalu notiek nešifrētā veidā. Lapā, iespējams, izpildāma SQL injekcija autentifikācijas datu ievades laukos. Dīvains ir arī pieteikšanās process – pat ierakstot pareizus datus, izkrīt “Parole nepareiza!” paziņojums, taču atjaunojot lapu, esam iekšā. Parolei tiek pārbaudīts garums, taču ne sarežģītība. Parole tiek atsūtīta e-pastā vienkāršā tekstā – slikti. Pieejami visu darbinieku telefoni, e-pasts, dzīvais čats, adrese, karte, Skype, SIA. Bankas kartes nepieņem. Privātuma atrunas nav. Atteikuma tiesības izskaidrotas, atsaucoties uz likumdošanu. Lapas tehnoloģijas ir novecojušas – tīmekļa serverim varētu būt aptuveni 10 gadu, kas cilvēkam varētu būt ap 100 gadu.

expressshop

Xnet.lv

SSL jeb šifrēšana pielietota tikai grozā un pie pirkuma noformēšanas. Paroles garums un sarežģītība netiek pārbaudīti. Paroles atjaunošana notiek ar drošības koda ievadīšanu. Pieejami vairāki telefona numuri, e-pasta adreses, biroja adrese, karte, reģistrēts SIA. Pieņem karšu maksājumus, tomēr, tikai izņemot preci birojā. Privātuma atruna redzama piereģistrējoties. Izskaidrota garantija un atteikuma tiesības. Tehnoloģijas mazliet novecojušas, taču ne būtiski.

Ololo.lv

Atverot reģistrācijas un ierakstīšanās sadaļas, ievērojam, ka šifrēšana mūsu sniegtajiem datiem pārsūtoties pielietota netiks. Turpinot šurpu turpu pārvietoties pa Ololo – neglītus kļūdu paziņojumus nesastapām. Pārdevējs reģistrāciju lieki nesarežģi (sarkastiski) – izveidojām kontu ar paroli “a”. Paroli tomēr pamanījāmies aizmirst. Nācās izmantot tās atgūšanas funkcionalitāti. Saņēmām uz e-pastu pavisam jaunu piecu simbolu virknējumu ar mazajiem burtiem un ciparu. Par paroļu kritērijiem nevaram piešķirt vairāk kā vienu punktu. Veikala darbībai reģistrēts uzņēmums, adrese un kontaktinformācija viegli atrodama. Norēķināties Ololo.lv iespējams ar pārskaitījumu un skaidrā naudā, saņemot preci. Privātuma atrunu mums atrast neizdodas. Garantijas skaidrojumu gan atrodam, tas atsaucas uz Patērētāju tiesību aizsardzības likumu un ražotāja garantijām. Salīdzini.lv lietotāji piešķīruši veikalam 2.5 zvaigznes. Ololo.lv izmanto tīmekļa servera programatūru, kas ir apmēram gadu veca. Interesantu nepilnību pamanījām preču grozā. Manipulējot ar preces daudzumu, ko iespējams norādīt, kā neveselu skaitli, iespējams ievērojami ietaupīt (attēls zemāk).

ololo

Sexystyle.lv

SSL tikai grozā un pie pirkuma noformēšanas. Meklēšanas funkcionalitāte aizdomīgi reaģē uz speciālajiem simboliem – ļaunprātīgam lietotājam tas dod cerību piekļūt datubāzei. Paroles atgūšanas e-pastā ir izmantots noklusētais lapas pārvaldības sistēmas ražotāja ziņojums, kā arī administrācijas ieejas sadaļa ir pieejama publiski, kas sniedz informāciju par izmantoto satura pārvaldības risinājumu un tā ievainojamībām (http://www.sexystyle.lv/admin/). Spējam izsaukt dažādus kļūdu paziņojumus. Parole e-pastā atnāk vienkāršā tekstā. Ir kompānijas rekvizīti, adrese, telefoni, darba laiki, e-pasti. Privātuma atrunas nav. Izskaidroti garantijas noteikumi un atteikuma tiesības. Izmantoto tehnoloģiju versijas ir apslēptas.

Galaxy.lv

Komunikācija ar veikalu šifrēta netiek. Meklējot “ ”, tiek atgriezta  visa datubāze, kas uzbrucējam radītu vēlmi cītīgi lūkoties pēc iespējas iegūt kontroli pār datubāzi. Paroles garums un sarežģītība netiek pārbaudīti. Parole tiek atsūtīta e-pastā vienkāršā tekstā. Salidzini.lv komentāri un reitings (1.3/5) nav tas glaimojošākais. Kartes netiek pieņemtas. Privātuma atrunas nav, nav arī ne miņas no informācijas par datu ievākšanas mērķiem vai aizsardzību. Lapā izmantotās tehnoloģijas ir diezgan novecojušas, kas var motivēt ļaundarus pievērst pastiprinātu uzmanību.

1shop.lv

SSL tikai grozā un pie pirkuma noformēšanas. Meklējot “ ”, tiek atgriezta visa produktu datubāze. Šādiem produktiem  cena tiek uzrādīta kā 0.00 Eiro gabalā. Paroļu sarežģītība un garums tiek pārbaudīti un apspoguļoti skaistā skalā, kas, parolei kļūstot drošākai, maina krāsu no sarkanas caur oranžu uz zaļu, tomēr arī ar vidēji drošo sistēma ļauj mums piereģistrēties. Ir atrodama kompānijas adrese, rekvizīti, telefoni, e-pasti, saites uz sociālajiem tīkliem. Bankas kartes netiek pieņemtas. Privātuma atrunas nav. Skaidri izskaidrota garantija un atteikuma tiesības.

1shop

Vertulux.lv

Komunikācija ar veikalu šifrēta netiek. Varam brīvi pārvietoties un šķirstīt mapes, piemēram, /gfx/, /lib/ vai /x/ ar privātām bildēm. Reģistrācijas funkcionalitāte nav atrodama. Lai arī salidzini.lv apgalvo, ka kartes pieņem, vadoties pēc informācijas mājaslapā, ar karti samaksāt nav iespējams. Privātuma atrunu ieraudzīt nevaram. Lapā atrodama sadaļa par garantiju un atteikuma tiesībām, tomēr to saturs skaidrību, nerunājot par uzticamību, neievieš. Salidzini.lv atrodamie pircēju vērtējumi nav iepriecinoši. Tehnoloģijas ir mazliet novecojušas.

vertulux

Elektroniks.lv

SSL pielietots netiek. Reģistrējāmies, tomēr pierakstīties neizdevās. Lapas valoda mēdz pati mainīties, piemēram, reģistrējāmies latviešu valodā, bet e-pasts atnāk krievu valodā. Paroles garums tiek pārbaudīts, taču ne tās sarežģītība. Parole atnāk e-pastā vienkāršā tekstā. Privātuma atrunas nav. Atteikuma tiesību apraksts nav. Iepērkoties Elektroniks.lv, norēķināties var ar pārskaitījumu, kā arī skaidrā naudā. Izmantoto tehnoloģiju versijas tiek slēptas, kas nejaušu uzbrucēju var atturēt, jo jāiegulda lieks darbs to noskaidrošanai.

tabula3

Klikšķiniet uz tabulas, lai apskatītu to pilnā izmērā

Secinājumi

Visus interneta veikalus vieno pasūtījumu izpildes kārtība – katrs pirkums tiek apstrādāts manuāli. Tas arī varētu būt par iemeslu nepiedāvāt norēķinus ar banku kartēm. Latvijas tirgus ir neliels un darbaspēka izmaksas ļauj to organizēt tieši šādi. Vairumā veikalu ir atruna par preces atgriešanu, atsaucoties uz patērētāju tiesību aizsardzības likumu, kā arī iespējas sazināties ar pārdevēju pārsvarā ir plašas. Tikai pie diviem tirgotājiem atradām privātuma atrunu – skaidrojumu kā tiks uzglabāti un izmantoti ievāktie klientu dati. Kopumā vietējie interneta veikali darbojas aptuveni pēc vienas shēmas un, iespējams, pat viens no otra “aizņemas” kādu teikumu.

Lai gan veikals, kas darbojas no rajona dzīvokļa guļamistabas, izmanto tos pašus vairumtirgotājus, paku bodes, kurjerus, bankas, likumus un garantijas, ko lepns e-komersants no Skanstes glaunāko ofisu ēku augšējiem stāviem, finansiālās rocības atšķirības parādās mājaslapu tehniskajā izpildījumā. Tieši šāda veida kritēriji diezgan līdzīgo sāncensību izretināja un ievērojami palielināja atšķirību starp topa pirmo un pēdējo vietu. Komunikācijas šifrēšana starp klientu un tirgotāju, tehniski kļūdu paziņojumi un piedāvātā funkcionalitāte, piemēram, nozaudētas paroles atgūšanas iespēja, viss tas devis punktus topa augšgalam. Kādam no veikaliem draudzīgā un skaidrojošā e-pastā nosūtījām norādi uz potenciāli bīstamu problēmu par, ko liecina kļūda, kas tiek atgriezta, autentificējoties lietotāju sadaļā, ievadot speciālus simbolus:

select

Atbildi uz e-pastu nesaņēmām, tomēr pēc laiciņa atkāroti šādu paziņojumu izsaukt mums vairs neizdevās. Vai veikalu uzturētājiem IT drošība nerūp? Kā jau minējām – pasūtījumi tiek apstrādāti manuāli, tāpēc tirgotājs neriskē ciest ievērojamus materiālus zaudējumus hakeru uzbrukuma/krāpšanas rezultātā. Šāda situācija nemotivē īpašniekus  rūpēties par lapas drošību. Tāpat izskatās, ka daļai īpašnieku, īpaši arī nerūp savu klientu datu aizsardzība, potenciālie publicitātes riski lapas uzlaušanas gadījumā vai arī iespējamā paskaidrojuma sniegšana Datu valsts inspekcijai.

Ko atbildēt uz ievadā uzdoto jautājumu: “Vai tiešām ir jābaidās un vai Latvijas lielākajos interneta veikalos iepirkties ir droši?” Ja pārdevējs ir reģistrēts uzņēmums, kas izraksta rēķinu, ko apmaksājam ar pārskaitījumu vai skaidrā naudā, saņemot čeku, tad zaudēt naudu vai saņemt nekvalitatīvu preci nav jābaidās. Droši nevaram būt vienīgi par to, ka mūsu dati un pirkumu vēsture nenonāk pie trešajām pusēm.

Autors: Aigars Naglis, DPA Drošības eksperts

Saistītās tēmas: datu drošībaDrošībainterneta veikaliInternets

Komentāri 5

Leave a Reply

  • e=d
    October 8, 2015, 20:21

    ūberkrutais eksperts varbūt varēja minēt kādus top 5 pasaules interneta veikalus, kuri pilnībā sēž uz SSL? Citādi izvēlēts kritērijs, kuru nepilda neviens, bet ekspertam ir iespēja pastaipīt pirkstus – cik viņš gudrs un labāk par citiem zina kā jābūt.

  • drauga draugs
    October 3, 2015, 18:32

    Kredītkartes dod pircējam papildus aizsardzību..
    ==
    Nu nu, toties dod iespēju kredītkaršu īpašniekiem krāpties, kā arī no katra pirkuma summas 2-3.5% banka savāc kā komisiju. Pie mikroskopiskiem uzcenojuma % , bankas % noēd visu peļņu un iedzen mīnusā. Labākajā gadījumā karti birojā pieņems pārdodot preci kurai paliels uzcenojums, visos pārējos gadījumos atradīs 101 iemeslu lai karti nepieņemtu

  • Draxo
    October 3, 2015, 14:09

    “Pieņem karšu maksājumus, tomēr, tikai izņemot preci birojā.”

    Vai tad? Viņi paši gan apgalvo, ka pieņem kartes: http://www.xnet.lv/lv/pirkuma-apmaksa

  • a
    October 3, 2015, 11:04

    Trūkst vēl viena būtiska novērtēšanas kritērija- internetveikalā izvietotās preces faktiska neesamība. Tā ir kā sērga, ka internetveikalos tiek izvietotas preces, kuras faktiski nav pieejamas. Man ir gadījies, ka pat `pec papildus noskaidrošanas un preces faktiskās neesamības, tā tāpat paliek veikala lapā redzama ar norādītu cenu.

    • Kams
      October 3, 2015, 15:06

      Tas tak ir standarta variants. Piemet vēl to, ka šie parasti piedāvā līdzvērtīgu* preci

      (*daudz draķīgāku preci, kas šo veikalā ir līdzīgā cenā, kā tā, ko pasūtīji)