Usikker registrering av persondata i mange nettbutikker

[Apologies to my English language readers, as this article mainly concerns encryption in Norwegian online shopping sites, I decided to write it in Norwegian]

Jeg har ved at par tidligere anledninger undersøkt bruken av kryptering av norske nettbutikker, sist i 2013. Konklusjonen begge ganger har vært at kryptering er lite brukt.

I løpet av januar gjennomførte jeg en ny undersøkelse av kryptering i norske nettbutikker. I tillegg til 59 butikker jeg hadde undersøkt tidligere, inkluderte jeg denne gangen 184 nye nettbutikker fra Posten.no‘s liste over nettbutikker, totalt 243 butikker. 

Som jeg tidligere har nevnt, mener jeg at hele nettbutikken bør ligge på en kryptert HTTPS server, men at jeg kan akseptere at kryptering er begrenset til innlogging, handlevogn og kasse (inkludert betaling, selvsagt), men kryptering av kassen, med inntasting av adresse informasjon, og eventuell innlogging til konto, er etter min mening et absolutt minimum for hva en nettbutikk må implementere mot brukeren.

Formålet med min undersøkelse var å finne ut hvor mange nettbutikker implementerte disse forskjellige nivåene, og der hvor kryptering ble brukt, finne ut om serverne var skikkelig oppdatert. Jeg tar forbehold
om at enkelte nettbutikker kan ha endret seg etter at jeg undersøkte dem.

Jeg gjennomførte undersøkelsen på denne måten:

  • Jeg startet på HTTP forsiden til butikken, og registrerte om den automatisk re-dirigerte til HTTPS.
  • Hvis den ikke re-dirigerte, sjekket jeg om HTTPS varianten av siden eksisterte og kunne lastes uten advarsler og med indikasjon om at siden var fullt kryptert.
  • Deretter sjekket jeg kryptering av innlogging til konto, dersom dette var tilgjengelig. Jeg testet ikke hvordan kontotjenestene fungerte, siden det ville kreve registrering.
  • Etter å ha lagt en vare i handlevognen sjekket jeg kryptering av handlevognen
  • Til sist gikk jeg til kassen og gikk så langt som praktisk mulig, uten innlogging, om mulig helt frem til siden hvor selve betalingen blir gjort.
  • For sikre sider sjekket jeg hvorvidt de inneholdt ukrypterte elementer.
  • For hver sikre tjener kjørte jeg en sjekk av SSL/TLS implementasjonen med TLS Proberen min.
  • I tillegg registrerte jeg informasjon om hvem som hadde levert siden, og hvilke betalings-leverandører som ble benyttet, dersom dette var enkelt tilgjengelig

Resultatet var, mildt sagt, skuffende:

  • Bare 6% av nettbutikkene krypterte hele butikken
  • Bare 16% krypterte innlogging til konto
  • Bare 10% krypterte vising av handlekurven
  • Bare 30% krypterte steget hvor man begynte prosessen med å registrere
    adresse og betaling.

nettbutikk-kryptering-2015-01.png

Det vil si at 70% av nettbutikken ikke krypterte steget hvor man enten logger inn eller registrerer sitt navn og adresse, og starter prosessen for å betale.

Riktignok, der hvor jeg kunne undersøke dette, gjennomfører de fleste av nettbutikkene som har betaling på nett med kredittkort dette på en kryptert side, men i de fleste tilfeller er dette snakk om en tredjeparts tjener, ofte Nets eller Dibs. I mange andre tilfeller er det leverandøren av nettbutikkløsningen som står for dette, selv om andre betalingsformidlere også benyttes. I to tilfeller fant jeg imidlertid nettbutikker
som ba om kredittkort informasjonen på en ukryptert side!

Når det gjelder status for de HTTPS tjenerne som var brukt av de nettbutikkene som hadde dem, var 91% patchet for det 5 år gamle TLS Renego problemet, og ingen var direkte sårbare for dette problemet. 62% av tjenerne støttet den nyeste TLS versjonen, TLS 1.2, mot 45% generelt. Derimot hadde fremdeles 37% av tjenerene fremdeles SSL v3 aktivert (mot 60% generelt), noe som gjør at de er sårbare for POODLE angrepet som kan knekke krypteringen av en forbindelse, og 17% var sårbare for TLS varianten av POODLE  (mot 6,7% generelt). I tillegg var 12% (mot 22%) sårbare for det såkalte Early CCS problemet, som også er et angrep som kan bryte krypteringen av en forbindelse. Ingen av tjenerne var sårbare for Heartbleed problemet. En rekke tjenere hadde også støtte for antikverte krypteringsmetoder som SSL v2 (8%) og svak kryptering (15%), noe som egentlig ikke er et alvorlig problem i dag, siden moderne nettlesere avsluttet støtten for disse metodene for mange år siden.

Hvorfor bør man kryptere nettbutikken?

For det første kan de varene man handler eller ser på fortelle mye om personen som handler, spesielt om man kan sammenholde informasjon fra mange innkjøp og hva man allerede vet om vedkommende. Det er ikke uten grunn at mange nettbutikker sporer hvilke varer du ser på og senere sender deg email om tilbud på varen, eller kjøper reklame for denne varen som vises når du besøker andre nettsteder.

Dersom nettbutikken er ukryptert er det ikke bare nettbutikken som kan samle slik informasjon, men alle og enhver som avlytter nettverks-forbindelsen din, enten det er kriminelle som ha brutt seg inn i trådløs-ruteren hjemme eller på hotellet, eller etterretningsorganisasjoner. Og i motsetning til den enkelte nettbutikk, disse angriperne kan samle data om deg fra mange ukrypterte nettbutikker, ikke bare en, og kan derfor bygge opp en mer «korrekt» profil av deg. Utplassering av falske Wi-Fi rutere i kollektivknutepunkter og lignende er også svært enkelt, og risikoen for å bli oppdaget er minimal.

Det er også kjent at flere utenlandske internettleverandører aktivt endrer, eller har endret ukryptert innhold for å legge til reklame eller sporings-informasjon.

Selv om man skulle akseptere at selve visningen og plukking av varer er ukryptert, er situasjonen annerledes med innlogging og adresseinformasjon.

En nettbutikk konto vil vanligvis ikke bare inneholde informasjon om all handel du har foretatt deg i butikken, men også kontakt- og adresseinformasjon, og i noen tilfeller også betalingsinformasjonen din.

Er adresseinformasjonen ubeskyttet, kan den endres av kriminelle og varene du har bestilt og betalt kan sendes til en annen adresse uten at du oppdager det i tide. Dette kan skje enten ved at de endrer informasjonen i kontoen din, eller ved at den endres i det du sender den til nettbutikken (og i slike tilfeller er det enkelt å presentere din egen informasjon til deg, så lenge informasjonen sendes ukryptert).

Et annet problem med å starte kassesteget ukryptert er at, når du skal gå videre til den sikre betalingen hos en betalings-leverandør, kan en kriminell angriper enkelt styre deg inn på et annet nettsted hvor han også kan få lurt deg til å oppgi kredittkortdetaljene dine (også kjent som «phishing»). I en ukryptert nettbutikk kan angriperen forøvrig begynne denne prosessen allerede når du starter kassesteget.

Med andre ord: Dersom nettbutikken er ukryptert vet du ikke om du faktisk betaler til nettbutikken, eller til en svindler, og du vet faktisk ikke om du vil få varene levert, selv om du betalte for dem. Selv om man ved bruk av kredittkort i de fleste tilfeller kan få pengene tilbake, og det er nettbutikken som sannsynligvis blir sittende med tapet (noe som burde være en grunn god nok til å sørge for kryptering av hele transaksjonen), så vil noe slikt føre med seg mange praktiske problemer. I verste fall er mangeårig, kostbar oppfølging av kredittinformasjon nødvendig.

At nettbutikken er kryptert betyr ikke nødvendigvis at nettbutikken gjør alt på en sikker måte bak nettstedet, men det er den eneste måten en kunde kan få en indikasjon på hvor alvorlig nettbutikkens eiere tar kundenes sikkerhet, siden det ikke er praktisk mulig for de fleste å få kontrollert de indre systemene i nettbutikken.

På den annen side, dersom nettbutikken ikke er kryptert, indikerer det, korrekt eller ikke, at eierne av nettbutikken ikke tar kundenes sikkerhet på alvor, siden det da er irrelevant hvor sikkert dataene håndteres og lagres inne i nettbutikkens datamaskiner (for hva det er verdt, dataene kan godt være lagret i et digitalt Fort Knox), fordi innsamlingen av dataene skjer på en fundamentalt usikker måte (informasjonen fraktes inn i det digitale Fort Knox i åpne trillebårer, uten bevoktning, gjennom en enorm folkemengde, som bare kan forsyne seg hvis de har ønsker det).

Fra galt til verre: Ubeskyttede persondata

Min undersøkelse kom også over noe som sannsynligvis er verre: minst 26% av nettbutikkene ba om fødselsnummer via en usikret nettside. Dette er ikke bare problematisk fordi fødselsnummeret brukes til så mange økonomiske formål, det er sannsynligvis også brudd på den norske personvernloven, siden Datatilsynet helt klart sier at dette er informasjon som skal krypteres når den sendes over Internett! Fødselsnummeret er ofte den viktigste informasjonsbiten som kriminelle trenger når de gjennomfører de fleste former for identitets-tyveri.

Kundene blir bedt om fødselsnummer dersom man velger å betale via en faktura- eller kreditttjeneste, som vanligvis krever en kredittverdighetssjekk før man får betale på denne måten.

Det er to forskjellige usikre måter som nettbutikkene ber om fødselsnummeret på. Noen ba om fødselsnummer direkte i sin egen ukrypterte kasse, mens andre nettbutikker inkluderte formularet som en kryptert ramme i den ukrypterte kassen. Begge deler er like usikre siden kunden ikke kan avgjøre om informasjonen er beskyttet, og kriminelle kan enkelt erstatte innholdet med sitt eget, og dermed få adgang til all informasjon som banker og kredittkortselskaper normalt spør om for å opprette en konto eller kreditt.

Av de nettbutikken som jeg undersøkte brukte 39% av nettbutikkene Klarna, som ser ut til å være den største aktøren i markedet, og av disse butikkene ba 60% om fødselsnummeret på en usikret måte. Dette er nok dessverre et absolutt minimum, siden mange nettbutikker krever registrering og innlogging før man kan komme til kassen. Ytterligere 3% av nettbutikkene som også ba om fødselsnummer på en usikret måte, benyttet andre faktura/kreditttjenester, som Collector, PayByBill, Resurs Faktura, og SveaWebPay.

Klarna ser ut til å være den av kreditttjenestene som forsøker å forbedre sikkerheten for butikk-kundene, siden de har allerede hadde startet en overgang til å gjennomføre registreringen av informasjonen de behøver på sin sikre server. Dessverre ødelegger mange av nettbutikkene for Klarna (37% av de som benytter Klarna) ved at de inkluderer denne registreringen som en ramme i den ukrypterte kassen. Klarna er klar over problemstillingen, og vurderer flere mulige fremgangsmåter for å løse problemet.

Hvem har ansvaret for de ukrypterte nettbutikkene?

Til syvende og sist er det etter min mening de som eier nettbutikken som er ansvarlige for sikkerheten i nettbutikken, inkludert beskyttelse av brukerens informasjon under transport og lagring.

Imidlertid har ikke nettbutikkeieren hele ansvaret i de fleste tilfeller, siden de fleste nettbutikker (spesielt de mindre butikkene) ikke utvikler sin egen nettbutikkløsning, de kjøper den av en nettbutikkleverandør. Mange av disse løsningene leverer dessverre ikke nettbutikker som er krypterte, og i de fleste tilfeller er ikke kassene i disse nettbutikkene kryptert, selv om betalings-steget nok er det. I min undersøkelse var det to slike leverandører som skilte seg spesielt positivt ut: WebMercs og MyStore hadde begge mulighet for sikker utsjekking, selv om ikke alle Mystore-assosierte nettbutikker benyttet seg av dette, dessverre.

En mulig faktor i hvorfor nettbutikker og nettbutikkleverandører ikke tar i bruk kryptering er muligens en rekke falske myter om hvor kostbart og tregt et kryptert nettsted er:

  • Myte: «Man trenger mer hardware for å ha et kryptert nettsted». Feil! En korrekt konfigurert server har minimale ekstra krav til ytelse, og man vil bare behøve mer utstyr om man allerede er nær ved å ha behov for det uansett. Når Google gikk over til å kryptere alle sine tjenester behøvde de ikke kjøpe ekstra maskiner i det hele tatt, belastningen på maskinene deres økte bare 1%.
  • Myte: «Et SSL sertifikat er dyrt». Feil! Prisen for et ordinært «domene validert» sertifikat starter rundt kr. 300 per år, og et såkalt «Extended Validation» (EV) sertifikat som gir bedre presentasjon av nettstedet i nettleseren, f.eks. firmanavn, koster noe mer, fra kr. 2000 per år. Dette er nok imidlertid en liten kostnad i forhold til hva selve utviklingen av nettbutikken koster.
  • Myte: «Man trenger en egen maskin/IP adresse for hver nettbutikk». Feil! Alle moderne nettlesere sender i dag en melding (kjent som Server Name Indication, SNI) til den sikre tjeneren om hvilket nettsted de er i ferd med å koble til, og en enkelt fysisk tjener bli brukt av mange sikre nettsteder med hvert sitt sertifikat, på samme IP adressen.

Det som derimot er sant, er at det er litt mer arbeid å sette opp et sikkert nettsted, og man må holde tungen rett i munnen. Mye av dette er imidlertid arbeid som en leverandør av nettbutikker kan ordne mye raskere og enklere, en prosess som sannsynligvis kan automatiseres, og som er en ganske liten del av det totale arbeidet med å sette opp og drifte en nettbutikk.

Bak disse to aktør-kategoriene er det mulig, som jeg omtalte for noen uker siden, at også en tilsynelatende mangel på synlighet av kryptering og sikkerhet under bransjemesser kan ha bidratt til denne mangelen på kryptering.

En annen faktor jeg mistenker er involvert, er en tilsynelatende mangel på detaljert oppfølging av bransjen med klare krav fra forbrukermyndighetene og Datatilsynet. Bortsett fra det klare kravet om kryptering av fødselsnummer, sier Datatilsynet, såvidt jeg har vært i stand til å finne ut, bare at man ved opprettelse av et kunderegister «skal gjøre en risikovurdering», det er ingen klare retningslinjer for hvilket beskyttelsesnivå man skal bruke under innsamling og lagring av navn, adresse- og kontaktinformasjon og betalingsinformasjon.

Den siste medvirkende faktoren, og en som sannsynligvis sterkt påvirker hvordan nettbutikkeierne og -leverandørene opptrer, er at de fleste kundene stilletiende aksepterer at mye av deres personlige informasjon sendes uten beskyttelse over nettet. Hadde kundene undersøkt hvor sikkert informasjonen deres ville bli overført før de handler, og bare handlet i nettbutikker som tar sikkerheten på alvor, ville vi sannsynligvis unngått mye av problemet.

Hvordan kan nettbutikker sikres bedre?

Hovedsaklig mener jeg at nettbutikkeierne og -leverandørene bør «ta seg sammen» og starte bruk av kryptering av nettbutikker snarest mulig. De bør starte med å kryptere kassen, registrering og innlogging, og deretter gjennomføre kryptering av hele nettbutikken. Disse aktørene bør også ta med i vurderingen at i løpet av 2015 eller 2016 planlegger Google å endre brukergrensesnittet i Google Chrome, fortrinnsvis i samarbeid med andre nettleserleverandører, og gi klarere advarsel til brukeren når nettsiden er ukryptert.

Kundene bør også våkne, og bli mer observante når de skal ut å handle, og forsikre seg om at nettbutikkene krypterer informasjonen deres, hovedsaklig ved å gjøre seg kjent med, og kontrollere nettleserens «hengelås» når de ankommer nettbutikken, og når de holder på med kassesteget.

I et noe mer langsiktig perspektiv mener jeg at aktørene i bransjen, sammen med eksperter fra relevante fagområder, bør gå sammen om å definere et minimum av krav til en nettbutikk, både i form av hvilke sikkerhetelementer nettbutikken tilbyr kunden under handelen, men også hvordan nettbutikkens interne systemer bør sikres.

I et enda lengre perspektiv må norske forbrukermyndigheter og Datatilsynet definere klare minimumskrav til netthandel, og ikke bare begrense seg til råd om rettigheter og at nettbutikkene må «gjennomføre en risikovurdering«.

Noe av dette er i ferd med å forbedre seg allerede. Som nevnt over, holder Klarna på og vurderer fremgangsmåter for hvordan de kan bidra til å forbedre bruken av kryptering i nettbutikker. Rett før publisering av denne artikkelen informerte Klarna meg om at de som en del av dette arbeidet vil tilby gratis SSL/TLS sertifikater til alle nettbutikker som benytter Klarna som betalingstjeneste:

Encryption and communication security between a customer’s web browser and a merchant’s web site is a global and industry wide issue. At Klarna, we don’t settle with that as a fact. Instead we are making an effort to effectively increase the data security level in the industry by launching an initiative where all Klarna merchants are offered a free SSL-certificate.

Data security and privacy considerations are becoming mainstream and vital for e-commerce players to identify and to embrace. It should be a standard feature for any player dealing with personal data and it is a core feature for e-commerce to continue to grow.

Klara sier også at de i løpet de neste månedene vil legge inn mer informasjon om sikkerhet og kryptering av nettbutikker i sine foredrag for e-handels-bransjen, og Jonathan James, Klarna’s sikkerhetssjef, er tett involvert i dette arbeidet:

Jonathan James , Chief Security Officer, Klarna:
«It is only by working pro-actively together with our merchants that we can ensure we deliver the best buying experience and maintain high security standards. Security and trust is just as paramount as simplifying buying to us.»

Jeg ser frem til å følge utviklingen av dette initiativet, og andre initiativ som jeg håper vil komme fra andre aktører. Svært mange i Norge handler på nett, og alle aktørene i markedet må bli involvert dersom vi skal få økt sikkerhetsnivået slik at det faktisk blir trygt å handle på nett.