Upozornění: Zprávy z eBay, informace o účtu a aktivita uživatelů nejsou zabezpečeny protokolem HTTPS. Porušuje to zákon o ochraně osobních údajů GDPR?
Zákazníci Ebay musí být zvlášť opatrní při přístupu k aktivitě na svém účtu, osobním informacím a zprávám uloženým na Ebay. Zdroje nás nedávno upozornily, že mnoho stránek na webu, které vyžadují vstup uživatele nebo obsahují jeho osobní údaje, není šifrováno HTTPS.
Ebay používá smíšený obsah webových stránek, což znamená, že některé stránky používají šifrovaná připojení, zatímco jiné ne. HTTPS se spoléhá na šifrování, aby bylo zajištěno, že nikdo, kdo náhodou zachytí informace cestující mezi webem a uživatelem, nemůže být dešifrován. Stránky šifrované HTTPS jsou označeny zeleným visacím zámkem nebo „https://“ v adresním řádku webového prohlížeče. Standardním doporučeným postupem je, že všechny stránky, které vyžadují vstup uživatele nebo obsahují osobní údaje, by měly být šifrovány HTTPS.
I když Ebay používá HTTPS na svých nejkritičtějších stránkách, jako jsou ty, kde se zadávají informace o platbě nebo adrese, postrádá šifrování na několika méně kritických, ale stále citlivých stránkách.
Když zákazníci například posílají a přijímají zprávy od prodejců, jejich komunikace se neodesílá přes soukromý kanál. Hacker mohl nejen zachytit a přečíst zprávy, ale mohl by je upravit v tom, co je známé jako útok typu „man-in-the-middle“. To by mohlo vést k podvodům nebo odesílání spamu z uživatelských účtů.
Ebay blokuje výměnu určitých typů informací prostřednictvím svého interního systému zpráv. Své zásady kontaktu mezi členy uvádí:
Členům také neumožňujeme vyměňovat si e-mailové adresy, telefonní čísla nebo jiné kontaktní informace, webové adresy nebo odkazy v systémech zasílání zpráv eBay.
Jde především o to, aby se zabránilo kupujícím a prodávajícím sjednávat transakce mimo systém Ebay. Pomáhá do určité míry chránit soukromí uživatelů, ale je to jen poloviční opatření ve srovnání s úplným šifrováním kanálu, které poskytuje HTTPS.
Celý řídicí panel My Ebay postrádá šifrování HTTPS. To zahrnuje aktivitu účtu, podrobnosti, nastavení, předvolby a další. Mnoho osobních údajů na těchto stránkách je zamlženo; například můj e-mail se zobrazuje jako „[email protected]“ namísto celé e-mailové adresy. Další informace ale tak skryté nejsou.
Všechny tajné otázky jsou například zobrazeny v plném rozsahu, i když ne jejich odpovědi. Pokud by však hacker znal tajné otázky předem, mohl by pravděpodobně hledat odpovědi. Informace o přátelích, domácích mazlíčcích a rodině pravděpodobně není tak těžké získat. Jakmile to uděláte, hacker může změnit heslo uživatele a převzít jeho účet.
Protokoly aktivity účtu také nejsou chráněny. Vše, co kupujete, prodáváte a sledujete, mohou hackeři zobrazit.
„eBay nasadil nespočet proprietárních technologií k detekci a prevenci pokusů o zneužití účtu. Tyto technologie běží v zákulisí, aby chránily účty našich uživatelů před jakýmkoli nelegitimním přístupem,“ uvedla společnost v prohlášení společnosti Comparitech. „Neustále ve velkém investujeme do zabezpečení našeho webu. To zahrnuje další vývoj našich technologií pro identifikaci a prevenci pokusů o zneužití účtu, stejně jako rozšíření používání SSL na našem webu, což je pro eBay klíčová priorita.“
Ebay je stěží jediný web, který postrádá šifrování HTTPS , ale vzhledem k tomu, že podrobnosti o účtu a zprávy mezi kupujícími a prodejci jsou ohroženy, je potřeba HTTPS jasná. Vyzýváme Ebay, aby co nejdříve implementoval šifrování HTTPS na jakoukoli stránku, která vyžaduje vstup uživatele nebo poskytuje osobní údaje z databáze zákazníků.
Více o HTTPS se dozvíte v našem průvodce šifrováním SSL .
Ebay a GDPR
Nedostatek šifrování HTTPS na Ebay ve zprávách a soukromých informacích zákazníků by mohl být v rozporu se zákony na ochranu spotřebitelských údajů, jako je nadcházející GDPR.
Obecné nařízení o ochraně osobních údajů (GDPR), které vstoupí v platnost v březnu 2018 a vztahuje se na celou Evropskou unii, obsahuje článek „privacy by design“, který vyžaduje, aby nastavení soukromí bylo standardně nastaveno na vysokou úroveň. Úřad britského komisaře pro informace ve svých pokynech pro organizace, které musí dodržovat GDPR, uvádí, že „pouze oprávněné osoby mají přístup k osobním údajům, mohou je měnit, zveřejňovat nebo ničit“.
Zatímco podrobnosti o povinném HTTPS a dalších formách šifrování během přenosu nebyly v GDPR dosud plně upřesněny, odborníci se domnívají šifrování osobních údajů při přenosu bude minimálním technickým opatřením podle nového zákona.
Použijte VPN
Pokud chcete nakupovat a prodávat na Ebay, ale máte obavy o své soukromí, doporučujeme se před odesláním zpráv nebo přístupem k řídicímu panelu My Ebay připojit k síti VPN. Síť VPN šifruje veškerý internetový provoz vašeho zařízení a směruje jej přes zprostředkující server na vámi zvolené místo. Tím je dosaženo podobné úrovně zabezpečení jako HTTPS a navíc maskuje vaši IP adresu pro větší soukromí.
Většina renomovaných sítí VPN jsou předplacené služby, které vyžadují instalaci aplikace. Jakmile se zaregistrujete a software běží, stačí vybrat server a připojit se. Jakmile je spojení navázáno, hackeři sledující síť mezi vaším zařízením a serverem VPN nebudou schopni dešifrovat žádný provoz, který zachytí. Podívejte se na naše hodnocení více než 20 standardů ochrany soukromí a zabezpečení VPN dozvědět se více.
VPN jsou obzvláště obezřetné, když jsou připojeny k nezabezpečené nebo neznámé síti Wi-Fi, například v kavárně, na letišti nebo v hotelu.
“ Ebay “ od Mikea Knella s licencí pod CC BY-SA 2.0