Внимание: Съобщенията на Ebay, информацията за акаунта и потребителската активност не са защитени с HTTPS. Нарушава ли закона за поверителност на GDPR?
Клиентите на Ebay трябва да бъдат изключително внимателни, когато имат достъп до активността в акаунта си, личната информация и съобщенията, съхранявани в Ebay. Източници наскоро ни посочиха, че много страници на сайта, които изискват потребителско въвеждане или съдържат личната им информация, не са HTTPS криптирани.
Ebay използва смесено съдържание на уеб страници, което означава, че някои страници използват криптирани връзки, докато други не. HTTPS разчита на криптиране, за да гарантира, че никой, който случайно прихване информация, пътуваща между уебсайт и потребител, не може да бъде дешифриран. HTTPS-шифрованите страници се обозначават със зелен катинар или „https://“ в URL лентата на уеб браузъра. Като стандартна най-добра практика, всички страници, които изискват въвеждане от потребителя или съдържат лични данни, трябва да бъдат HTTPS криптирани.
Въпреки че Ebay използва HTTPS на най-критичните си страници, като тези, където се въвежда информация за плащане или адрес, липсва криптиране на няколко по-малко критични, но все пак чувствителни страници.
Когато клиентите изпращат и получават съобщения от продавачи например, техните съобщения не се изпращат по частен канал. Хакер не само може да прихване и прочете съобщения, но и да ги модифицира в това, което е известно като атака „човек по средата“. Това може да доведе до измама или изпращане на спам от потребителски акаунти.
Ebay наистина блокира обмена на определени типове информация чрез вътрешната система за съобщения. Това е политика за контакт между членовете заявява:
Също така не позволяваме на членовете да обменят имейл адреси, телефонни номера или друга информация за контакт, уеб адреси или връзки в системите за съобщения на eBay.
Това е преди всичко, за да се попречи на купувачите и продавачите да организират транзакции извън системата Ebay. Това наистина помага за защита на поверителността на потребителите до известна степен, но е само половин мярка в сравнение с пълното криптиране на канала, осигурено от HTTPS.
На цялото табло за управление на My Ebay липсва HTTPS криптиране. Това включва активност в акаунта, подробности, настройки, предпочитания и др. Голяма част от личната информация на тези страници е скрита; например имейлът ми се показва като „p…[email protected]“ вместо пълния имейл адрес. Но друга информация не е толкова скрита.
Всички тайни въпроси се показват изцяло, например, но не и техните отговори. И все пак, ако един хакер знаеше тайни въпроси предварително, той или тя вероятно би могъл да се разрови за отговорите. Информация за приятели, домашни любимци и семейство вероятно не е толкова трудна за намиране. След като това стане, хакерът може да промени паролата на потребителя и да поеме акаунта му.
Регистрационните файлове за активността на акаунта също не са защитени. Всичко, което купувате, продавате и гледате, може да се види от хакери.
„eBay внедри безброй собствени технологии за откриване и предотвратяване на опити за злоупотреба с акаунт. Тези технологии работят зад кулисите, за да защитят акаунтите на нашите потребители срещу всякакъв нелегитимен достъп“, каза компанията в изявление на Comparitech. „Ние непрекъснато инвестираме в голям мащаб в сигурността на нашия сайт. Това включва по-нататъшното развитие на нашите технологии за идентифициране и предотвратяване на опити за злоупотреба с акаунти, както и разширяването на използването на SSL на нашия сайт, което е ключов приоритет за eBay.“
Ebay е едва ли единственият уебсайт, който няма HTTPS криптиране , но като се има предвид, че данните за акаунта и съобщенията между купувачи и продавачи са изложени на риск, необходимостта от HTTPS е ясна. Призоваваме Ebay да внедри HTTPS криптиране на всяка страница, която изисква въвеждане от потребителя или предоставя лична информация от клиентска база данни, възможно най-скоро.
Научете повече за HTTPS в нашия ръководство за SSL криптиране .
Ebay и GDPR
Липсата на HTTPS криптиране в Ebay на съобщенията и личната информация на клиентите може да се сблъска със законите за защита на данните на потребителите, като предстоящия GDPR.
Общият регламент за защита на данните (GDPR), който влиза в сила през март 2018 г. и обхваща целия Европейски съюз, включва член „поверителност още при проектирането“, който изисква настройките за поверителност да бъдат зададени на високо ниво по подразбиране. В своите насоки за организации, които трябва да спазват GDPR, Службата на комисаря по информацията на Обединеното кралство заявява, че „само упълномощени хора имат достъп, променят, разкриват или унищожават лични данни“.
Въпреки че подробностите относно налагането на HTTPS и други форми на транзитно криптиране все още не са напълно уточнени в GDPR, експертите смятат, че криптирането на лични данни при транзит ще бъде минимална техническа мярка по новия закон.
Използвайте VPN
Ако искате да купувате и продавате в Ebay, но сте загрижени за поверителността си, препоръчваме да се свържете с VPN, преди да изпращате съобщения или да влизате в таблото за управление на My Ebay. VPN криптира целия интернет трафик на вашето устройство и го насочва през междинен сървър на място по ваш избор. Това постига подобно ниво на сигурност като HTTPS, плюс това маскира вашия IP адрес за допълнителна поверителност.
Повечето реномирани VPN са абонаментни услуги, които изискват да инсталирате приложение. След като се регистрирате и софтуерът работи, просто изберете сървър и се свържете. След като връзката бъде установена, хакерите, които подслушват мрежата между вашето устройство и VPN сървъра, няма да могат да дешифрират трафика, който прихванат. Разгледайте нашите класации на над 20 стандарта за поверителност и сигурност на VPN да научиш повече.
VPN мрежите са особено предпазливи, когато са свързани към незащитена или непозната wifi, като например в кафене, летище или хотел.
“ Ebay ” от Майк Кнел, лицензиран под CC BY-SA 2.0
