Verkkokauppojen tietoturvan puutteet voivat mahdollistaa huijaukset

ke, maalis 30, 2011 15.27 CET

Verkkokauppaohjelmistoista on löytynyt tietoturvaongelmia. Ohjelmistojen toteutusvirheitä hyväksikäyttämällä on ollut mahdollista huijata verkkokauppasovellusta ja suorittaa ostoksia ilman, että maksu siirtyy verkkopankista kauppiaalle.

Haavoittuvuudet johtuvat pääasiassa siitä, ettei kauppiaan käyttämä verkkosovellus noudata asianmukaisesti maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin, antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä. Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta.

Haavoittuvuus ei koske pankkien tai muiden maksuliikennepalveluita tarjoavien tahojen palveluita, vaan se rajoittuu verkkokauppasovellusten teknisiin toteutuksiin.

Haavoittuvuuksista ei ole haittaa kuluttajille

Haavoittuvuus ei estä tai vaaranna normaalia ostosten tekoa. Koska väärinkäyttömahdollisuudet tulevat ilmi vain systemaattisen ohjelmistotestauksen myötä, ei kauppias välttämättä huomaa ohjelmistovirheen olemassaoloa ennen kuin ensimmäiset väärinkäytökset paljastuvat. Verkkokauppasovellusten tietoturva ja pankin maksuliikenteen välittämiseen tehtyjen määrittelyjen noudattaminen ovat kuitenkin kauppiaan vastuulla.

Verkkokauppiaiden on suositeltavaa varmistua käyttämänsä verkkokauppasovelluksen tietoturvallisuudesta suorittamalla itse tai teettämällä asianmukainen ohjelmistotestaus, johon kuuluu myös tietoturvan heikkouksia kartoittava osio.

CERT-FI on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista.

Epäilyistä yhteys poliisiin

CERT-FI suosittelee, että kauppiaat vertailevat verkkokauppansa tilitystietoja, tilauksia ja toimituksia. Jos kauppias epäilee petosta, tulee hänen ottaa yhteys paikalliseen poliisilaitokseen.

Maksamisen kiertäminen verkkosovellusten haavoittuvuuksia hyväksikäyttämällä luokitellaan petokseksi tai törkeäksi petokseksi. Rikoslain mukaan myös petoksen yrittäminen on rangaistavaa. Tapausten esitutkinnan suorittaa poliisi.

CERT-FI on työskennellyt ongelman selvittelyssä yhteistyössä Helsingin poliisin, Suomen elektronisen kaupankäynnin yhdistys ry:n, OWASP:in ja Nixu Oy:n kanssa.

Lisätietoja antavat:
Tietoturva-asiantuntija Antti Kiuru, p. 09 6966 467, 040 483 4563
CERT-FI-yksikön päällikkö Erka Koivunen, p. 09 6966 737, 050 309 8094

CERT-FI:n Tietoturva nyt -artikkeli aiheesta

Poliisin tiedote

CERT-FI haavoittuvuustiedote 046/2009

CERT-FI:n kuluttajaohje turvalliseen verkko-ostamiseen

Video turvallisesta verkko-ostamisesta (YouTube)

OWASP:in ohjeet turvallisen verkkomaksutoteutuksen tekemiseen

Liikenne- ja viestintäministeriön julkaisu 11 / 2011: Vie palvelusi tietoturvallisesti verkkoon - palveluntarjoajan vastuut, oikeudet ja velvollisuudet