Via et tips fikk ITavisen kjennskap til at en av de mest kjente nettbutikkene i Norge, sender bestillinger med tilhørende kredittinformasjon ukryptert.
Det er ikke forbudt med ukrypterte bestillinger, men for kunden er det svært uheldig at utenforstående får tilgang til slik informasjon.
Lover at informasjon er krytpert
På sine hjemmesider lover den omtalte nettbutikken at de krypterer all informasjon når du betaler med kredittkort. Dette har de selv skrevet om betalingssikkerheten for kunden:
«Betaler du med kort krypterer vår programvare all informasjon.»
Annonse
«Ingen andre kan tyde verken kredittkortnummer, navn, adresse eller favorittkategori når bestillingen sendes over nettet.»
Snifferprogram fant bristen
Men ved å kjøre et såkalt snifferprogram som »lytter» til en sending , hadde vår kilde klart å få full innsikt i betalingsinformasjon.
Med hjelp av sin hjemme-PC og Ethereal Software sniffer, fulgte han sin egen bestilling, og oppdaget at bestillingen og betalingsdataene ble sendt ukryptert frem til et protokollbytte, og mer er ikke nødvendig for å fange opp kredittkortopplysningene.
Butikken hevder det motsatte
ITavisen konfronterte butikken med våre opplysninger.
– All bestillingsinformasjon som sendes blir kryptert, påsto deres IT-ansvarlige.
Etter at ITavisen informerte grundigere om opplysingene vi satt inne med, måtte IT-ansvarlig sette seg tilbake å tenke. Inntil IT-avdelingen hos nettbutikken har hatt mulighet til å sette seg grundigere inn i problemet, vil vi vente men å røpe hvilken butikk dette dreier seg om.
NSafe baseres på selvjustis
eForum fungerer som sekretariat for merkeordningen Nsafe, og har ansvaret for å godkjenne nettbutikker som får merket tildelt.
– Hvordan sjekker dere at en butikk tilfredstiller kravene til Nsafe-merket?
– Først om fremst må nettbutikkene sende søknad som også inkluderer en egenerklæring. Nsafe stiller strenge krev til butikkene, og det er viktig å forstå at norsk lov gjelder også på nettet. Vi har i tillegg en egen klageordning som fungerer meget bra, sier Randi Myklebostad i Nsafe/ eForum.
Myklebostad oppfordrer alle kunder til å ta kontakt med dem, dersom de finner noen irregulariteter hos Nsafe-medlemmene.
– ITavisen har eksempler på at bestillinger som inneholder kredittkortopplysninger sendes ukryptert. Gjøre dere noe for å sjekke at sikkerheten er hva nettbutikkene lover?
– Vi foretar rutinesjekker, som at tjenesten inneholder den informasjonen de plikter å ha som Nsafe-merket. Butikkene kan miste merkeordningen hvis krav ikke blir tilfredstilt, forteller Myklebostad.
– Men hva med sikkerhetsmessig. Har dere noen som helst kontrollrutiner for å sjekke om bestillingen faktisk sendes kryptert?
– Nei, vi har ingen kontrollrutiner, innrømmer Myklebostad. Men det er et krav til merkeordningen er at bestillingsinformasjonen som går fra kunde til butikken er kryptert.
Benekter falsk trygghet
-Men vi sitter med et klart eksempel på denne type informasjon som faktisk ikke er kryptert. Gir ikke dette Nsafe-stempelet en falsk trygghet for kunden?
– Nsafe stiller som krav at betalingsinformasjon med kredittkort skal være kryptert, men det handler mye om selvjustis. Jeg mener det ikke er farlig å handle dersom man vet hvor man handler, sier Myklebostad, som selv utsteder sikkerhetssertifikater.
Hun mener det er liten grunn til å advare mot å handle på nett, trass i våre opplysninger. Dersom noen finner svakheter oppfordrer hun kunder til å sende inn en klage til Nsafe.
Forbrukerombudet skeptiske
Rådgiver Bente Øverli hos Forbrukerombudet har tidligere advart forbrukerne mot å feste for stor lit til bedrifter som benytter seg av Nsafe-merket. Da dreide det seg om brudd på markedsføringsloven, og ikke betalingssikkerheten.
For å få en Nsafe godkjenning må ha tilstrekkelig og klar kontrakt- og produktinformasjon tilgjengelig for kunden, klare og utømmende vilkår, kundedata skal behandles konfidensielt, og nettstedet skal inneholde rettighetsinformasjon og klagerutiner.
Myklebostad opplyser, at det også er en forutsetning at all betalingsdata sendes kryptert.
Annonse
