Verkkokauppojen tietoturvan puutteet voivat mahdollistaa huijaukset
Verkkokauppaohjelmistoista on löytynyt tietoturvaongelmia. Ohjelmistojen toteutusvirheitä hyväksikäyttämällä on ollut mahdollista huijata verkkokauppasovellusta ja suorittaa ostoksia ilman, että maksu siirtyy verkkopankista kauppiaalle.
Haavoittuvuudet johtuvat pääasiassa siitä, ettei kauppiaan käyttämä verkkosovellus noudata asianmukaisesti maksuliikennepalvelujen tarjoajan, eli esimerkiksi pankin, antamia maksutapahtumien välittämiseen liittyviä teknisiä määrittelyjä. Näin käy esimerkiksi silloin, jos maksutapahtuman paluuosoitetta tai tarkistussummaa ei tarkisteta.
Haavoittuvuus ei koske pankkien tai muiden maksuliikennepalveluita tarjoavien tahojen palveluita, vaan se rajoittuu verkkokauppasovellusten teknisiin toteutuksiin.
Haavoittuvuuksista ei ole haittaa kuluttajille
Haavoittuvuus ei estä tai vaaranna normaalia ostosten tekoa. Koska väärinkäyttömahdollisuudet tulevat ilmi vain systemaattisen ohjelmistotestauksen myötä, ei kauppias välttämättä huomaa ohjelmistovirheen olemassaoloa ennen kuin ensimmäiset väärinkäytökset paljastuvat.
Verkkokauppasovellusten tietoturva ja pankin maksuliikenteen välittämiseen tehtyjen määrittelyjen noudattaminen ovat kuitenkin kauppiaan vastuulla.
Verkkokauppiaiden on suositeltavaa varmistua käyttämänsä verkkokauppasovelluksen tietoturvallisuudesta suorittamalla itse tai teettämällä asianmukainen ohjelmistotestaus, johon kuuluu myös tietoturvan heikkouksia kartoittava osio.
CERT-FI on tiedottanut verkossa liiketoimintaa harjoittaville suomalaisille kauppiaille löytyneistä tietoturvaongelmista.
Epäilyistä yhteys poliisiin
CERT-FI suosittelee, että kauppiaat vertailevat verkkokauppansa tilitystietoja, tilauksia ja toimituksia. Jos kauppias epäilee petosta, tulee hänen ottaa yhteys paikalliseen poliisilaitokseen.
Maksamisen kiertäminen verkkosovellusten haavoittuvuuksia hyväksikäyttämällä luokitellaan petokseksi tai törkeäksi petokseksi. Rikoslain mukaan myös petoksen yrittäminen on rangaistavaa. Tapausten esitutkinnan suorittaa poliisi.
CERT-FI on työskennellyt ongelman selvittelyssä yhteistyössä Helsingin poliisin, Suomen elektronisen kaupankäynnin yhdistys ry:n, OWASP:in ja Nixu Oy:n kanssa.
Lisätietoja:
Tietoturva-asiantuntija Antti Kiuru,
p. 09 6966 467, 040 483 4563
CERT-FI-yksikön päällikkö Erka Koivunen,
p. 09 6966 737, 050 309 8094