I februar 2015 omtalte digi.no en undersøkelse om 243 norske nettbutikkers bruk av kryptert forbindelse (HTTPS) ved overføring av persondata og annen følsom informasjon. Undersøkelsen som ble utført i privat regi av Vivaldi-utvikleren Yngve N. Pettersen, viste blant annet bare 6 prosent av nettbutikkene overførte alle deler av nettbutikken over HTTPS-forbindelser.
I en mindre undersøkelse som Pettersen gjennomførte i juli 2015, var andelen steget til 12 prosent.
Bakgrunn: Dårlig sikring i nettbutikkene
Ny undersøkelse
Nå har Pettersen utført en ny undersøkelse hos de samme nettbutikkene som i 2015, det vil si de 205 som fortsatt eksisterer. Pettersen har tatt utgangspunkt i det hengelåsbaserte sikkerhetsvarselet som finnes i Vivaldi 1.5-nettleseren. Dette bruker samme algoritme som Google Chrome 54.
Dette forteller at en webside er usikker dersom den inneholder skjemaer som overføres ukryptert, men også dersom en ellers kryptert webside inneholder ukryptert innhold.
– Denne klassifiseringen er valgt fordi det er det eneste som vil være tilgjengelig for en kunde, uten å grave i avansert funksjonalitet som konsollogger, med mer, skriver Pettersen i en epost til digi.no.
Klar bedring, men fortsatt svakt
Pettersen forteller at 33 prosent av de testede nettbutikkene nå er helt krypterte.
Selv om dette er et mye bedre resultat enn det som var i de foregående undersøkelsene, er andelen fortsatt overraskende lav, med tanke på hvor som har blitt sagt og skrevet for å fremme bruken av kryptering på weben.
Ikke minst gjelder for nettsteder som behandler fortrolig informasjon, enten det er snakk om passord, fødselsnummer, eller kredittkortinformasjon.
Andelen av nettbutikkene som ber om fødselsnummer i et skjema som sendes ukryptert, har underlig nok vokst fra 26 til 28 prosent siden begynnelsen av 2015.
Kassetrinnet
Selv om bare deler av nettbutikken er ukryptert, kan dette for eksempel utnyttes av ondsinnede til å lede kunden over til en phishingtjeneste i stedet. Spesielt er det problematisk dersom kassetrinnet er ukryptert.
Ifølge Pettersen viser den nye undersøkelsen av 45 prosent av nettbutikkene har kryptert kasse. I begynnelsen av 2015 var andel på 30 prosent, mens den hadde vokst til 37 prosent i juli.
– Det har med andre ord bare vært en mindre bedring i antall krypterte kasser, mens mange av de butikkene som har hatt kryptert kasse nå også krypterer hele butikken. Jeg har ennå ikke undersøkt hvor mange som har gått fra helt ukryptert til helt kryptert, i forhold til de tidligere undersøkelsene, skriver Pettersen.
Store leverandører trekker ned de små nettbutikkene
Han presiserer at den største bedringen når det gjelder kryptering av kassen, har skjer blant de store nettbutikkene. 33 prosent av de helt ukrypterte eller usikre nettbutikkene bruker løsninger som er levert eller til og med driftet av to store leverandører. Den største av disse har i utgangspunktet en kryptert kasse, men ifølge Pettersen svekkes sikkerheten hos mange fordi kassetrinnet deres også inkluderer bilder fra den ukrypterte delen av nettbutikken.
– I forbindelse med en av butikkene jeg har testet, hvor selve forsiden blandet kryptert og ukryptert innhold, kan man (kanskje) trekke litt på smilebåndet av hva som var feil: Et av bildene som ble lastet ukryptert var bildet med hengelås og teksten «sikker betaling», skriver Pettersen.
– Graver man litt i disse resultatene, ser man at kryptert kasser ville vært mulig for 57 prosent av butikkene, og at bare 20 prosent ville samlet inn fødsels/personnummer på usikre sider, om enkle grep hos noen få aktører hadde vært gjennomført, forteller Pettersen.
Leste du denne? Visa-kortopplysninger kan «gjettes» på få sekunder
Underlige feil
I alle fall to av landets største nettbutikker er faktisk tilgjengelige via både HTTP og HTTPS, men brukerne kommer bare inn på den krypterte utgaven dersom de klikker på en lenke hvor den sikre protokollen er oppgitt, eller at de aktivt velger å taste inn dette. Det skjer ingen omdirigering fra den ukrypterte til den krypterte utgaven før man kommer til kassetrinnet.
På grunn av hardkoding av protokollen i URL-ene til både «hjemknapp» og søkeskjema i de samme nettbutikkene, kan man raskt ende opp på de ukrypterte sidene uansett. På grunn av det usikre søkeskjemaet klassifiseres det meste av nettbutikkene som usikre selv om man bruker HTTPS-utgaven.
Ifølge Pettersen er dette noe som bør kunne fikses veldig enkelt. Men disse nettbutikkene har i alle fall kryptert kassetrinnet.
Ikke godt nok
– Vi skulle ønske at flere norske nettbutikker var flinkere på dette området, sier Mads Henriksveen, som er fagansvarlig for blant annet sikkerhetssertifikater hos Buypass, i en kommentar til Pettersens undersøkelser.
– Selv om norske nettbutikker er blitt flinkere til å sikre seg på flere områder, som blant annet å følge Virkes «Trygg e-Handel», er ikke dette nok. Bruk av TLS-sertifikat er et enkelt grep for å øke sikkerheten betraktelig, og det burde være en selvfølge i dag å beskytte hele kundedialogen, sier Henriksveen.
Flere nettlesere, i alle fall Chrome og Firefox, skal i løpet av 2017 tydeligere merke ukrypterte websider som inneholder passord- eller kredittkortfelt, ved rett og slett å skrive i adressefeltet at de ikke er sikre. Dette kan kanskje bidra til at usikre nettbutikker mister kunder til fordel for dem som tar sikkerheten og personvernet til kundene på alvor. Nettleserne viser gjerne en hengelås i adressefeltet når websiden er kryptert.
– God nok sikkerhet og tillit er et konkurransefortrinn, sier Henriksveen.
– Sørg for at nettstedet ditt driftes med høy fokus på sikkerhet og forhindring av ID-tyveri, test for sårbarheter for å forebygge hacking, ivareta et sikkert driftsmiljø med gode rutiner, oppdatert operativsystem og applikasjoner, antivirus, innbruddsdeteksjon og gode kontrakter med underleverandører, er hans råd til nettbutikkeierne.
Les også: HTTPS ikke er sikkert nok alene. Her ser du hvorfor (Digi Ekstra)
Ansvaret
Da digi.no skrev om Pettersens første undersøkelse i 2015, uttalte sikkerhetsrådgiver Per Thorsheim til digi.no at hele ansvaret ligger hos nettbutikkeieren, selv om løsningen leies og driftes av noen andre.
– Jo, nettbutikken jeg handler i har ansvaret for hele løsningen, uavhengig av hvor og hos hvem løsningen faktisk kjører. Kommer mine data på avveie så holdes nettbutikken ansvarlig, og så må de gå sine underleverandører videre, skrev Thorsheim den gang i en e-post til digi.no.
– Dessverre er det en kjent problemstilling at mange tror at outsourcing av drift også inkluderer outsourcing av ansvar, noe som er helt feil, skrev han videre.
I den samme saken skrev digi.no om en separat undersøkelse som påpekte mangelfull sikkerhet også hos flere norske nettbanker. De fleste var ganske raske med å utbedre problemene. De fikk likevel kritikk fra sikkerhetseksperter for å ha sovet i timen.
Yngve N. Pettersen har i ettertid publisert en egen artikkel om den nye undersøkelsen. Den er tilgjengelig her.
Les mer: Nettbankene skjerpet seg