Mens vi shopper løs hjemmefra, kæmper web-butikker med it-sikkerheden

Illustration: Nanna Skytte/Ingeniøren
En af verdens største web­shopplatforme måtte tidligere i år erkende, at »ingen platform er 100 procent sikker«. For nylig blev en dansk betalingsløsning afsløret i at negligere sikkerhedshuller.

Vi skal blive hjemme, lyder det fra myndighederne. Det efterlever danskerne, der som en direkte konsekvens har skruet yderligere op for nethandlen. Nemlig.com, der leverer dagligvarer, har mere end en uges leveringstid i og omkring København, og tøj­firmaet Zalando har ligeledes måttet skrue op for ventetiden.

Men webhandel er ikke risikofrit. For to uger siden kunne Version2 beskrive, hvordan den danske kortbetalingsplatform Yourpay havde ignoreret advarsler om, at deres platform behandlede kortdata usikkert og mod de gældende standarder.

»Det her er en ulykke, der venter på at ske,« siger Magnus Paaske, der som selvstændig it-konsulent opdagede fejlen, fordi Yourpay crashede, da han selv prøve at bruge programmet.
Og derfor så han programmets kode igennem for at se, hvordan det var bygget op.

Her så han, at Yourpay havde en række sikkerhedsproblemer, som han meldte til Yourpay, der dog ikke reagerede – udover at prøve at ansætte ham som konsulent. Det afslog han, hvorefter han informerede Wordpress om Yourpays problemer.

Læs også: Usikkert dansk plugin: 20.000 danske webshops lader kunders kortdata køre gennem egne servere

Wordpress er en af verdens mest populære platforme til – blandt andet – webshops. Det er også igennem Wordpress, at man kan hente Yourpay, ligesom man kan hente programmer og spil til telefoner gennem Google Play eller Apples App Store.

Hos Wordpress reagerede man på Magnus Paaskes henvendelse ved at sætte Yourpays program i karantæne. Ikke desto mindre sælger Yourpay stadig sine produkter til danske webshops, og Yourpay skriver på selskabets hjemmeside, at det har 20.000 danske webshops som kunder.

De problemer, der er i Yourpays systemer, er umulige at gardere sig mod som forbruger, for de forekommer, når kortoplysningerne rejser fra kunden til betalingsindløseren, for eksempel danske Nets.

Med andre ord kan man følge al god e-handelsskik, være på en sikker forbindelse og så videre og stadig få lækket sine kortoplysninger til ondsindede hackere.

Platform erkender usikkerheder

Yourpay er ikke den eneste web­shop-platform, der har bøvlet med sikkerheden. Magento, der er verdens mest populære platform for e-butikker, måtte i januar indrømme, at antallet af angreb mod platformen vokser hurtigere end Magentos udbredelse.

Og at flere af angrebene lykkes.

»Magento er et saftigt mål for denne type kriminelle, fordi det er er en af de mest anvendte platforme i verden. Angriberne er også klar over, at Magento-platformen kræver, at købmænd og hjemmeside­installatører arbejder sammen, for at hjemmesiden og dens sikkerhed kan opdateres,« sagde Piotr Kaminski, der er ledende produktchef hos Magento, tilbage i oktober til Version2. Derudover måtte han nedslået tilføje:

»Ingen platform kan blive 100 pct. sikker.«

Det mærkede danske Bahne på egen krop, da selskabet, der netop kører Magento, blev hacket af ukendte gerningsmænd. Angrebet ende med at koste selskabet mere end 10 millioner kroner og sendte regnskabet i rødt. Derudover blev et ukendt antal danske kreditkortdata stjålet.

Bahne er blot det største danske eksempel. Også i udlandet har store, velrenommerede virksomheder oplevet, at deres sites blev lagt ned.

Og faktisk er Magento selv også blevet kompromitteret gennem et af selskabets egne programmer.

Hvis man vil forstå, hvorfor web­shops bøvler med sikkerheden i en sådan grad, skal man forstå, at de er økosystemer med et væld af små programmer. Den hårde kerne er udviklet af for eksempel Magento eller Wordpress, mens mange af funktionerne er udviklet af små selskaber som Yourpay.

Alle kan lave et såkaldt Wordpress-plugin og uploade det – uden at nogen ser det efter i sømmene for usikkerheder og sjuskefejl, som Yourpay i øvrigt også var fuld af.

»Selve kernen i Magento og Wordpress er generelt ganske sikker, og derfor lader det til, at nogle tror, at det også gælder alle de programmer, der ligger uden om,« siger Magnus Stubman, der er sikkerhedsrådgiver hos Improsec:

»Det er bare ikke tilfældet.«

Wordpress ønsker ikke at stille op til interview, men har på det seneste forsøgt at stramme op i det væld af tilføjelser, man kan hente til platformen. Blandt andet ved at kigge programmerne igennem for de mest almindelige sikkerhedsbrister.

At Yourpay er blevet sat i karantæne, kan også meget vel være udtryk for denne udvikling.

»Tilgængeligheden hos Wordpress er både styrken og svagheden ved platformen. Det er nemt at komme i gang og få publiceret sine plugins, men den betyder også, at mange begynder at publicere deres kode hurtigt og uforvarende får lagt den ud med sikkerhedsfejl, fordi de ikke er trænet i sikker kodning,« siger Frederik Raabye, der er sikkerhedsrådgiver hos Dubex.

Iveren er naturlig, og letheden er, som Frederik Raabye også pointerer, en af styrkerne ved webshop-platformene.

»Jeg forstår da også godt, det kan være svært som entreprenør at sikre sig på det her område. Man har brug for folk som mig, og vi koster en del for en lille, ny virksomhed,« siger Magnus Stubman og fortsætter:

»Som programmør eller entreprenør med en en god idé er man mest optaget af at føre den ud i livet og få ideen ud til folk, der kan bruge den, og det forstår jeg så udmærket.«

Nye sider på gammel software

For at komme de mange usikkerheder til livs har Magento over flere omgange bønfaldet sine kunder om at bruge de seneste versioner af platformen i stedet for at blive på gamle versioner, der har kendte sikkerhedsproblemer, hackere nemt kan udnytte.

»Please, please, please brug den nyeste udgave. Vi ser hjemme­sider, der lanceres lige nu, som mere eller mindre er uddaterede med det samme,« siger Piotr Kaminski fra Magento.

»Vi ser ofte, at firmaerne prioriterer features over sikkerhedsopdateringer på deres hjemmesider, og opdaterer hjemmesiden senere hen,« tilføjer han og understreger det vigtige i at holde sin hjemmeside opdateret, hvis man vil undgå sikkerhedsbrister.

Imens kan man som forbruger blot håbe, at de danske webshops lytter til bønnen.

Yourpay har ikke ønsket at stille op til interview med Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Helge Larsen

»Tilgængeligheden hos Wordpress er både styrken og svagheden ved platformen. Det er nemt at komme i gang og få publiceret sine plugins, men den betyder også, at mange begynder at publicere deres kode hurtigt og uforvarende får lagt den ud med sikkerhedsfejl, fordi de ikke er trænet i sikker kodning,« siger Frederik Raabye, der er sikkerhedsrådgiver hos Dubex.

Det er bare ikke en undskyldning for en betalingsudbyder som Yourpay, da de skal sørge for at deres udviklere bliver trænet i sikker kodning kontinuerligt jf. krav 6.5 i PCI DSS.

Det kunne jo få en til at stille spørgsmål ved om de overhovedet er certificerede, og må drive den forretning de gør.

  • 7
  • 0
Johan Færch

Som det bliver sagt i artiklen så er det features over sikkerhed. Sikkerhed er svært, dyrt (da det koster bl.a. ekstra uddannelse og resourcer uden umidelbart at returnere noget til gengæld) og ikke mindst - Forbrugeren stiller ikke (nok) krav om det.

F.eks. burde alle der har læst om YourPays arrogance i den nævnte sag blot gå uden om virksomheden - Både som samarbejdspartner, udvikler og ikke mindst forbruger. Men det sker i for lille omfang. Måske er det for svært at følge med...? Måske er det for svært at skifte...?

Har ikke selv benyttet YourPay, men kommer der ingen advarsler i browseren når man benytter det som forbruger?

  • 1
  • 0
Claus Bobjerg Juul

De problemer, der er i Yourpays systemer, er umulige at gardere sig mod som forbruger, for de forekommer, når kortoplysningerne rejser fra kunden til betalingsindløseren.

Skal betalingsindløseren ikke også være PCI compliant, for hvis de skal hvordan kan betalingsindløseren så modtage betalings oplysninger ukrypteret?

  • 3
  • 0
Jens Beltofte

Skal betalingsindløseren ikke også være PCI compliant, for hvis de skal hvordan kan betalingsindløseren så modtage betalings oplysninger ukrypteret?

Selvfølgelig skal betalingsindløseren være PCI compliant.

Det der står i artiklen synes jeg ikke rigtig giver mening. I det specifikke tilfælde med Yourpay og tilfældet med Bahne, er problemet vil i bund og grund at e-commerceløsningen benytter indlejrede formularfelter til indtastning af kortoplysninger og på den ene eller anden måde behandler og/eller opbevarer kortoplysninger på serversiden i e-commeceløsningen.

Hvis e-commerceløsningen havde viderestillet brugeren til en formular hostet hos udbyderen af betalingsindløseren/gateway (kunne også være et overlay hvor selve formularen indlejres fra betalingsindløseren/gateway), så var problemet ikke det samme, da kortoplysninger som udgangspunkt aldrig kommer i berøring med e-commeceløsningen.

Jeg har for sjov google lidt og fundet nogle webshops der benytter Wordpress, WooCommerce og Yourpay (så vidt jeg kan lure forrige patch release af deres plugin dvs. relativt nyt....), og de benytter konsekvent formularfelter indlejret på checkout-siden i WooCommerce og alle kortoplysninger sendes sammen med navne, adresse m.m. med et alm. post kald (i de tilfælde jeg har fundet via https) til WooCommerce / e-commerceløsningen hvor de valideres på serversiden op mod Yourpay. Det skal siges at det ser ud til at Yourpay i deres plugin også understøtter en redirect eller iframe løsning hvis e-commerceløsningen ikke kører https (https://www.yourpay.io/support/woocommerce-betalingsvindue-i-iframe/) - ved dog ikke helt hvordan det fungerer.

Udfordringen er måske at ejerne af disse webshops ikke opdaterer deres WooCommerce løsning så tit eller ikke skifter til en nyere udgave af Yourpays plugin eller en anden integrationsmetode fra Yourpay (hvis en sådan findes). Men i bund og grund har Yourpay et ansvar for at sikre, at deres kunder skifter væk fra en sådan usikker og ulovlig løsning (hvis webshop ejeren ikke har en PCI-certificering). Reelt burde de over en kortere periode (3-6 måneder) udfase understøttelsen af denne integrationsmetode og skifte til redirect til en betalingsside hostet hos Yourpay. Det kan være at deres system ikke er lavet til at kunne lukke ned for denne type af integrationer uden det går ud over kunder der faktisk har en PCI-certificering og laver indløsning gennem API / serviceside kald til Yourpay.

  • 1
  • 0
Brian Jensen

"PCI compliance is required by credit card companies to make online transactions secure and protect them against identity theft. Any merchant that wants to process, store or transmit credit card data is required to be PCI compliant, according to the PCI Compliance Security Standard Council."

Reglerne er klare nok, Yourpay skal have en PCI godkendelse når de behandler kortdata og når de slår SSL fra / tilråder folk at gøre det i deres wordpress modul, ville de med 100% sikkerhed miste PCI godkendelsen allerede der.

Udfra at yourpay's egne kunder har problemer med at få deres tilgodehavende fra yourpay, hvilket andre medier har berettet. (Jeg ved ikke om det er imod debatreglerne at linke til tv2lorry) - kan man komme til den konklusion at man bør holde sig væk fra yourpay både som erhvervsdrivende og privatperson. Personligt ville jeg ikke taste mine kreditkort oplysninger ved forretninger der benytter yourpay.

  • 1
  • 0
Log ind eller Opret konto for at kommentere