'שופרסל אונליין', אתר הקניות של רשת הקמעונאות הגדולה בישראל, אינו דורש מלקוחותיו אימות של כרטיס אשראי שפרטיו הוזנו לאתר בקנייה קודמת. בכך חושפת החברה את הלקוחות לסיכון כי במקרה של פריצה לחשבון ישמש האשראי לרכישה על ידי אדם אחר. לעומת שופרסל, אתרים מתחרים בתחום הקמעונאות פועלים בצורה מאובטחת יותר, ודורשים אימות של הכרטיס בכל קנייה.

לאחר הרכישה הראשונה באתר שופרסל אונליין, במהלכה מזין הלקוח את פרטי האשראי שלו, האתר שומר הרשאת חיוב רב פעמית (TOKEN) לכרטיס זה. בקניות הבאות ניתן לערוך קניות באתר בעזרת פרטי הכניסה לחשבון בלבד, ללא הזנת שלוש ספרות האבטחה המודפסות על גב הכרטיס (CVV). כך עלול חשבון שנפרץ לשמש עבור הזמנה לכל כתובת בארץ, מבלי שבעלי כרטיס האשראי נדרש לאשר את הרכישה טרם הביצוע שלה. "ברגע שיש להם במקום מסויים את ההרשאה – אם הסיסמאות נפרצות ומגיעות למישהו – הוא יכול להזמין על חשבוני", אומר ל'דבר' עו"ד יהונתן קלינגר, מומחה לזכויות דיגיטליות.

תשלום באתר שופרסל אונליין. אין דרישה ל-3 ספרות אחרונות בגב הכרטיס (צילום מסך משופרסל אונליין, צילום אילוסטרציה: Shutterstock)

בדיקה באתרי חברות קמעונאות מתחרות – 'רמי לוי', 'יינות ביתן' ומגה, העלתה כי בשונה משופרסל אונליין, באתרים אלו כל רכישה מחייבת הקלדה מחדש של 3 הספרות בגב כרטיס האשראי. באתר רמי לוי, כל רכישה חוזרת בכרטיס אשראי שכבר הוזן מחייבת גם הזנת מספר תעודת זהות של בעלי הכרטיס. ב'מגה' ניתן גם לשלם באמצעות שירות PayPal, המאפשר ביצוע רכישה עם שכבת אבטחה נוספת.

לאחר פניית 'דבר': אפשר להסיר הרשאת חיוב אשראי מהאתר

עד השבוע שעבר, כל פרטי כרטיסי האשראי באמצעותם בוצעה רכישה בשופרסל אונליין נשמרו באתר אוטומטית, והסרתם התאפשרה רק באמצעות פנייה יזומה לשירות הלקוחות של החברה בטלפון, בווטסאפ או ב'צור קשר' באתר, והמתנה למענה מנציגי השירות של החברה. ימים ספורים לאחר ש'דבר' פנה לחברה בבקשת תגובה לצורך כתבה זו, נוספה לאתר האפשרות להסרת הרשאות חיוב באשראי, אך ללא התייחסות כתובה משופרסל המכירה בבעיה שהייתה עד כה.

אפשרות להסרת פרטי אשראי מאתר שופרסל אונליין (צילום מסך משופרסל אונליין, צילום אילוסטרציה: Shutterstock)

שופרסל היא הרשת הקמעונאית הגדולה בישראל. לפי דו"חותיה האחרונים, לחברה 1.9 מיליון לקוחות כאשר נתח הקניות באתר שופרסל אונליין מהווה 15% מסך המכירות. כלומר, כ-500 מיליון שקלים ברבעון מתוך הכנסות של כ-3.4 מיליארד שקלים בסך הכל. מדובר בנתח העיקרי של הקניות ברשת מקרב כלל קמעונאי המזון בישראל שלפי הערכת חברת המשלוחים QUIK, שהתפרסמה בגלובס, מהווה כ-75% מהשוק.

שופרסל: "פועלים על פי הסטנדרטים המחמירים ביותר"

בתנאי השימוש באתר שופרסל אונליין נכתב כי "החברה לא תהא אחראית ולא תישא בכל אחריות במקרה של חדירה או פריצה ו/או נזק כלשהוא שנגרם בשל השימוש באתר". עוד נכתב כי "החברה נוקטת באמצעים סבירים להגנה על האתר ועל רכיבי חומרה ותוכנה הקשורים בתפעולו ודואגת לעדכנם באופן שוטף, בין היתר, כדי להגן על האתר ועל תוכנו מפני חדירות, פרצות או האזנות בלתי מורשות". למרות הצהרה זו, האתר אינו דורש כל אימות פרט לכתובת מייל וסיסמה בודדת בכדי לבצע רכישה. סעיף 76 בתקנון השירות מבהיר במפורש כי החברה אינה אחראית כלפי לקוחותיה לשימוש כלשהו של צד ג' בסיסמה שלא שייכת לו.

מרשת שופרסל נמסר כי "אנו פועלים על-פי הסטנדרטים המחמירים ביותר לשמירה על אבטחת מידע והגנת הפרטיות".