עולם הקניות המקוונות כבר מזמן לא תופס תאוצה – הוא פשוט שם בשיאו.
האחוזים המדוייקים של הציבור אשר רוכש את מרכולתו דרך האינטרנט משתנה ממדינה למדינה אך במדינות מסויימות זה נוסק אף ל 80%!! רכישות ברשת. כן כן.
מזמן הגיעו הרבה מאד מהחברות הגדולות למסקנה, שצריך למכור ברשת ואז הרבה מהן נקטו בצעד של הרחבה עסקית לעולם המקוון או אפילו מעבר מוחלט לאינטרנט בלבד, למשל נייק, כבר בתחילת שנות ה 2000 השקיע עשרות מליוני דולרים במערכת בה יוכל כל אדם להזמין נעל בהזמנה אישית באינטרנט. זה לא פשוט כמו שזה נשמע, זה לא רק לבחור צבעים באתר, זה צריך מיד לתקשר עם מערכות היצור ההזמנות השילוח וכל המנגנונים של הקונצרן הענק הזה בשביל שבסוף, בלי לצאת מהבית, תקבלו עד הבית, את הנעל שרציתם.
במקביל אליהן, צמחו חברות שכל עניינן מסחר מקוון – לפרט? אמזון, Ebay, עלי-אקספרס, דיל-אקסטרים ועוד.
בארץ לעומת זאת, חווית הקנייה איומה, כל כך גרועה עד ששוק הקניה המקוונת בישראל נפגע קשות לפני שנים רבות מאתרים שהציעו חווית קניה כל כך רעה שעד היום הציבור הישראלי בתת מודע שלו וב DNA מעביר את זה מדור לדור ואנשים פשוט לא קונים ברשת.
הנתון הזה עוד יותר מדהים, לאור העובדה, שבישראל, אחוז המחשבים הביתיים מהגבוהים בעולם, יחס מחשב אישי, טלפון חכם, טאבלט וכו לאדם הוא גבוה כל כך, עד שהיינו מצפים שכולם פה יזמינו מהאינטרנט, הרי כולם סטארטאפיסטים וכולם הייטקיסטים נו, אז לקנות באינטנרנט לא? כנראה שלא.
כנראה שיעברו כמה שנים טובות עד שחווית הקנייה תתוקן, נכון, הנתונים עולים וזה מעודד אבל מה שאותי מטריד, זו הקלות הבלתי נסבלת, כמו הרבה דברים בארץ, בה כל אתר של חנות הכי קטנה (או גדולה) מחליט להכניס פיצ'ר של קניה מקוונת או כפי שנקראת חנות וירטואלית או חנות אונליין, לאתר שלו בלי אמצעי אבטחה כלל וכלל. מי אשם? המזמין או הספק? לדעתי במקרה הזה ללא כל ספק בונה האתר, הספק לצורך העניין הוא האשם העיקרי שכן הוא מספק את יכולת השיווק לאתר עצמו והוא חייב להוות גורם מקצועי שמייעץ ומציע מה לעשות וכאשר הוא נתקל בלקוח מסוג "עזוב אותך שטויות, מי כבר יפרוץ לאתר שלי" הוא צריך להגיד לו יפה שלום. אגב, בלי להיות משפטן, אני בטוח שכך ייפסק במקרה בו יגנבו כרטיסי אשראי / מספרים מאתר כלשהו ובעל האתר יגיד "לא אני בניתי" או "אני לא מבין בזה" חובת המקצועיות על בונה האתרים.
אתן לכם דוגמא
אתר טבע קום, תחפשו ותמצאו לבד (או שלא ממש צריך) מציע רכישה של מוצרים תוספי תזונה, שמנים, קוסמטיקה טבעית ועוד. האתר כולו מבוסס על טהרת החנות המקוונת.
לאחר שאתם מסמנים את המוצרים שאתם רוצים וממשיכים לרכישה, מתגלה בפניכם המסך הבא:
במסך זה לכאורה מסך תמים ורגיל, מבקש את האתר את פרטיכם, כולם פרטי חובה כמובן, שם תעודת זהות וכד' ועד איך לא, סוג ומספר כרטיס האשראי!!! אפילו את 3 הספרות בגב הכרטיס.
למי שמצוי באתרים מסוגים שונים מיד יבחין שהטופס נראה כמו טופס יצירת קשר, מכאן ניתן להסיק, כי הנתונים בכלל נשלחים לחברה והחברה סולקת סליקה טלפונית מול חברת האשראי לפי הפרטים שהעברתם. בין כך או כך, אם תבחינו למעלה בצד שמאל, בכתובת האתר, מופיעה כתובת רגילה, של דף מערכת וורדפרס wordpress, עמוד רגיל לכל דבר, אפילו בלי כותרת של רכישה, כלום. עמוד שקל לפרוץ או להגיע אליו למי שיבין, שכאן, עוברים המון נתונים, כל מה שצריך זה להכנס למערכת הניהול של האתר, דבר לא קשה מדי להאקר בינוני בלבד, לעדכן שהנתונים האלו ישלחו גם אליך והנה, כל המידע יגיע גם אליך. אף אחד לא יבחין בכך עד שהלקוחות יהיו עירניים ויבינו שמשהו לא בסדר.
לעומתו, אתר קטן ומתחיל, (שיהיה בהצלחה) לבגדי פעוטות. רוני-בי. (יעאני רוני – ביגוד, נחמד לא? קריאטיב טוב).
הפעם, האתר משתמש בקידוד של 256 ביט, מצויין, גבוה מאד. איך יודעים? הכתובת המופיעה למעלה (מסומן) היא https כלומר כמו Http רגיל עם התוספת S המציינת Secure אלא שהכתובת מחוקה ועם X עליה, הסיבה, שישנם פריטים בדף שאינם מוצפנים ולכן אפשר דרכם לפרוץ ולשבש את העברת הנתונים תוך שמשפיעים עליהם לצרכים שלא היינו רוצים.
מדוע כאן רואים זאת ובדוגמא הקודמת לא? כיוון שכאן דרשנו מהאתר להיות מאובטח, כלומר שיווק בטוח, חכם, ולכן כאשר ישנה בעיה באבטחה זו, הרשת מספרת לנו על כך, לפני כן, בדוגמא הראשונה, מי בכלל חשב על אבטחת הקניה? לכן, מבחינת הרשת לא ביקשנו כלומר זה ממש לא פונקציה, מבחינת הרשת אלו נתונים יבשים, מספרים ואותיות, שאנחנו מבינים שהם כרטיסי אשראי וטלפונים ולכן, הרשת לא מודיעה לנו כלום.
אגב, את שני האתרים בנה אותו בחור איתי איטח, ובהחלט הוא עושה עבודה יפה בתחום הוורדפרס, בניית אתרים, אלא שבעניין האבטחות צריך כנראה לצרף לצוות איש אבטחת מידע ולא לבנות על הפלטפורמה הכל כך נפוצה בעולם שתגן עלינו כי מנסיון, היא ממש לא, פורצים אליה, מפילים אותה וזה בסדר, זה חלק מהרשת, אך כאשר לא מדובר על הכסף שלנו, לא נורא, כאשר זה כבר מסכן אותנו, אני, לא הייתי קונה שם.
ועוד דבר: היום בדיוק שמעתי, ממקור מהימן שלמערכות הביומטריות שמדינת ישראל כל כך מתגאה בהן יותר מכל מדינה אחרת, אין אפילו תוכנת סריקה עדיין שיודעת לעבור על הנתונים וזה פשוט, כי המכרז עוד לא נסגר ובכן אתם מבינים? האזרח הקטן שבונה חנות וירטואלית לא מוגנת מייצג בדיוק את נבחריו שבונים מאגר ביומטרי הרסני גם הוא, לא מוגן.
עכשיו תגידו לי, כרטיס אשראי באתר שכמעט בוודאות לא ישמור על הנתונים שלכם בצורה מאובטוחת לא תרצו לתת, אבל את האצבע והפנים למאגר הביומטרי כן?
מוגש כחומר למחשבה