Nasz niedawny artykuł o polskich serwisach, które nie przechowują bezpiecznie danych swoich użytkowników, naprowadził nas na ciekawy trop. Nasi czytelnicy zgłosili nam kilka sklepów, które wyglądały zaskakująco podobnie i podobnie wysyłały hasła.
Postanowiliśmy przyjrzeć się bliżej takim sklepom jak airsoftguns.pl, drumcenter.pl, ewa-michalak.pl, kurtmedia.pl, beateuhse.pl czy sklep-presto.pl. Co prawda rzut oka na kod źródłowy nie dał zbyt wiele, ale kilka wyszukiwań w Google odpowiedziało na najważniejsze pytanie – wszystkie te sklepy oparte są na silniku IAI-Shop.
IAI-Shop to chyba najpopularniejszy na polskim rynku sklep internetowy, oferowany w modelu „oprogramowanie jako usługa”, gdzie wszystkie elementy techniczne prowadzenia sklepu internetowego – hosting, oprogramowanie, grafika zlecone są jednemu dostawcy. Firma ma w Polsce prawdopodobnie ponad tysiąc klientów – każdy klient to co najmniej jeden sklep internetowy. Spójrzmy, jak wygląda proces zakładania konta i odzyskiwania hasła w sklepie opartym na silniku IAI-Shop na przykładzie firmy Wólczanka.
Pierwsze ostrzeżenie – maksymalna długość hasła
Drugie ostrzeżenie: zostanie wysłane aktualne hasło
I kulminacja – przypomnienie naszego hasła otwartym tekstem.
Tę procedurę przetestowaliśmy na wielu sklepach opartych na silniku IAI i w każdym przypadku wyglądała identycznie. Setki, jeśli nie tysiące firm korzystają w Polsce z rozwiązania firmy IAI. Sama firma pisze w swojej polityce prywatności:
IAI S.A. nie odpowiada za błędy właścicieli sklepów korzystających z IAI-Shop.com, jeżeli to z ich winy zasady poufności gromadzonych informacji nie zostaną zachowane. W szczególności odradzamy wykorzystywanie jednego konta użytkownika panelu administracyjnego, zapisywania i podawania publicznie hasła. Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili i przy pomocy komunikatorów internetowych.
Wczoraj wysłaliśmy firmie IAI kilka pytań, dotyczących tego zagadnienia. Otrzymaliśmy informację, że pytania dotarły, jednak firma nie potrafi określić, kiedy otrzymamy odpowiedzi. Poniżej zamieszczamy pytania z nadzieją, że wkrótce uzupełnimy je o odpowiedzi IAI.
1. Czemu nie stosują Państwo hashowania haseł klientów sklepów?
2. Jak z technicznego punktu widzenia zabezpieczają Państwo hasła klientów?
3. Czy uważają Państwo taką praktykę za bezpieczną?
4. W swojej polityce prywatności piszą Państwo „Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili i przy pomocy komunikatorów internetowych.” – jak się ma to stwierdzenie do procedury odzyskiwania hasła klienta?
5. Czy planują Państwo zmianę tego podejścia, a jeśli tak, to jakie rozwiązanie Państwo wybiorą?
Komentarze
” Nie zalecamy również wysyłania hasła poprzez sieć Internet w postaci e-maili” – czy to sugeruje, że właściciel/personel sklepu ma także dostęp do haseł?