Kuidas tunneksid end, kui keegi võõras käib öösiti sinu elutoa sahtlites sorimas? Võibolla pole sealt eriti midagi leida, aga ebameeldiv on see ikka. Vaatame sama situatsiooni veebipoe kontekstis.

Ilmselt on sinu kasutuses veebipoe peaukse võtmed (administreerimisliidese parool ja kasutajanimi), millega sinna ise sisse logid. Nende võtmetega näed ühtlasi ka oma klientide andmeid, teinekord ka nende pangakaardi andmeid. Niisiis, veebipoe võtmetega pääsed ligi enda ja oma klientide rahakotile. Need on seega ühed olulised võtmed! Esimene küsimus peaks nüüd olema – kas kellelgi on veel samasuguseid võtmeid?

Ilmselt jättis veebipoe arendustiim endale ühe. Äkki on vaja midagi remontida. Võib-olla sai ka sisu sisestaja võtme. Ja võib-olla käis keegi kolmas maksemoodulit liidestamas ja sai ka võtme. Kui sa oma veebipoodi algusest lõpuni ise ei loonud, siis võib eeldada, et selliseid võtmeid on “küla peal” laiali mitmeid. Ja kuigi need on kindlasti usaldusväärsete isikute käes, on võimalus, et mõni võti valedesse kätesse satub seda suurem, mida rohkem on võtmest koopiaid.

Neli levinud ämbrit

Viise, kuidas võtmed kaovad, on mitmeid. Esimeseks on loomulikult võtme kogemata üleandmine. See võib lihtsasti juhtuda näiteks nii, et arendajale saadetakse parool e-posti teel. Ilmselgelt usaldame seda inimest, kellele parooli anname, aga kas usaldame ka oma e-posti teenusepakkujat, kes nüüd näeb seda parooli krüpteerimata kujul?

Teine viis oma parool kellelegi pahaaimamatult anda on see, kui keegi näiteks kutsub sind mängima uut online mängu, lugema mõnda artiklit või katsetama uut e-poe pluginat. Et seda jagatud teenust tarbida, tuleb aga esmalt luua kasutajakonto koos e-maili aadressi ja parooliga. Võib aga juhtuda, et nende teenuste arendaja tegelik eesmärk ongi koguda paroole ja mäng on lihtsalt söödaks konksu otsas. See on laialt levinud praktika ja ohtlik neile, kes kasutavad sama parooli mitme konto puhul. Tumeveebis on pikad nimekirjad sedasi püütud paroolidest kõigile kättesaadavad.

Väga mugav on võtmeid koguda ka näiteks avalikest arvutitest. Pole eriti keeruline paigaldada arvutisse programm, mis kõik klahvivajutused tekstifaili maha salvestab ja selle tekstifaili sisu tuhandete kilomeetrite kaugusel asuvale huvilisele nähtavaks teeb. Selle igivana andmevarguse meetodi nimi on keylogging. See on lihtne ja seda kasutatakse väga palju.

Peaaegu sama lihtne on pealt kuulata avalikku WiFi liiklust. Kui teie olete WiFi ruuteri omanik või kui teil on juhuslikult admin taseme juurdepääs mõnele ruuterile, siis on teie võimuses vaadata kõiki ruuterit läbivaid andmeid. Kui paroolid ja liiklus ei ole krüpteeritud (märksõnad HTTPS / SSL), siis on võimalik lihtsal moel luua tekstifail, millest saab need andmed välja lugeda. Kui siinkirjutaja huvi oleks koguda paroole, siis näiteks bussijaamas “tasuta” WiFi pakkumine oleks üsna tõhus viis.

Niisiis on paroolist ilmajäämine vägagi lihtne. E-kaubanduses tegutsejale on parooli kaotamine eriti valus, sest mängus on ka klientide andmed. Ükski tabalukk ega trellid ei pea, kui selle avajal on olemas peaukse võti. Sellisel vargal pole muukrauda, ketaslõikurit või raudkangi tarvis isegi kotist välja võtta. Seetõttu on tugev parool küberturvalisuse vaatevinklist kõige tähtsam asi.

Tugeva parooli aitab tagada nende lihtsate põhimõtete järgimine:

  • Parool olgu tugev, unikaalne ja see peab avama vaid ühe luku.
  • Igal kasutajal olgu oma unikaalne võti.
  • Ära logi sisse oma e-maili kontole, internetipanka või poe administreerimisliidesesse avalikest arvutitest.
  • Võimalusel ära kasuta avalikku WiFit. Tee endale telefoniga oma WiFi kuumkoht ja jälgi, et sa ei sisesta paroole lehekülgedele, millel puudub SSL (tavaliselt kuvatud kui roheline tabalukk brauseri aadressiriba vasakus otsas).
  • Vaata üle oma poe kasutajad. Kui kellelegi neist pole tegelikult ligipääsu vaja – eemalda nad!
  • Uuri, kellel on olemas võti sinu serverisse (FTP, SSH või delegeering). Neid näed, kui logid sisse oma serveripakkuja lehel (zone.ee, veebimajutus.ee vms).
  • Ära kasuta paroole, mille äraarvamine on võimalik. Arvesta ka, et tänapäevase arvutusvõimsuse juures pole mõnekümne miljoni tähekombinatsiooni läbiproovimine liiga keeruline.
  • Võimalusel kasuta alati kaheastmelist tuvastamist (tundmatust arvutist sisselogimisel saadetakse telefonile koodiga SMS). See on pisut ebamugav, aga igal juhul sinu huvides.

On arusaadav, et mitme parooliga majandamine on tüütu. Paroolid kipuvad ka meelest minema. Selle jaoks on aga olemas paroolihaldurid, mis võimaldavad paroole turvaliselt säilitada. Meie meeskonna lemmik on KeePassXC.

Niisiis see on meie üleskutse: tee üks korralik kevadine suurpuhastus veebilehele ligipääsu omavate kasutajate tabelis ja tähtsate paroolide nimekirjas.

Viis põhilist ligipääsu tüüpi, mida kontrollida

Natuke lihtsam on kevadist suurpuhastust teha neil, kelle e-pood on loodud mõne tarkvara teenusena müüva pakkuja keskkonnas, näiteks Shopify või kodumaised Voog ja Shoproller. Sellisel juhul on sinu ligipääs poodi jooksutavale tarkvarale piiratud ja enamasti piisab turvalisuse tagamiseks sellest, kui e-poe ja e-posti kasutajad üle vaatad.

Kui su pood on ehitatud populaarse WooCommerce-i, Prestashopi või OpenCarti peale, siis on sinu (või sinu arendaja) kätte usaldatud üks väga suur võtmekimp, millest igaühega saab sinu poele palju kurja teha. Õnneks pole aga ligipääsude kontrollimine keeruline. Siiski, et asi sujuks võimalikult hästi, toome siin ära Eestis levinumate lahenduste abidokumentide lingid, mille abil saab kontrollida viit põhilist ligipääsu tüüpi, mis ohustavad sinu e-poodi.

1. Kas sinu endiste töötajate e-posti kontod on veel aktiivsed?

Vahel on mugav jätta endise töötaja e-posti konto kustutamata, kuid kas oled vähemalt nende aadresside paroolid ära vahetanud? Siit leiad juhendid enda teenusepakkuja jaoks.

Veebimajutus.ee Zone.ee Google G Suite

2. Kellel on sinu e-poe haldusliidese juures kasutajakonto?

Kas mõnele endisele töötajale on kasutajakonto jäänud? Kas kõik, kes on administraatorid, peavad seda olema?

Prestashop WordPress OpenCart Voog ShopRoller Shopify

3. Kas oled oma veebimajutuse halduskeskkonnas andnud kellelegi automaatse ligipääsu oma kontole või serverile?

Võib-olla saab sinu kummalegi neist ligi arendaja, kellega sa pole enam mitu aastat koostööd teinud?

Zone.ee Veebimajutus.ee

4. Kes saab FTP kaudu sinu e-poe failidele ligi?

FTP on kõige tavalisem viis, kuidas arendajad sinu e-poe tarkvara ehitavad ja parandavad. See tähendab, et küsimus ei ole mitte selles, kas mõne FTP kasutaja peaks ära kustutama, vaid selles, mitu.

Zone.ee Veebimajutus.ee

5. Kes saab läbi SSH ühenduse otse sinu e-poodi jooksutavale veebiserverile ligi?

On väga võimalik, et seda ligipääsu viisi ei ole sinu veebimajutuse kontol aktiveeritud. Kui sa siiski leiad halduspaanelist aktiivse SSH konto, siis arvesta, et läbi selle saab see inimene juhtida kogu sinu veebiserveri ja e-poe toimimist.

Zone.ee Veebimajutus.ee

Oma kodulehe turvatestimiseks kliki siia

Idyllum Labs

Liitu uudiskirjaga

Väärt uudised, praktilised nõuanded ning siseinfo Eesti e-kaubanduse kohta.