ブログ

注意: Ebay メッセージ、アカウント情報、ユーザー アクティビティは HTTPS で保護されていません。 GDPRプライバシー法に違反しますか?

イーベイ
Ebay の顧客は、Ebay に保存されているアカウント アクティビティ、個人情報、メッセージにアクセスする際には特に注意する必要があります。情報筋は最近、サイト上の多くのページ(ユーザー入力が必要なページや個人情報が含まれるページ)が HTTPS で暗号化されていないことを指摘しました。



Ebay は混合 Web ページ コンテンツを使用します。つまり、一部のページでは暗号化された接続が使用され、他のページでは暗号化された接続が使用されません。 HTTPS は、Web サイトとユーザーの間を移動する情報を偶然傍受した人が解読できないようにするために暗号化に依存しています。 HTTPS で暗号化されたページは、Web ブラウザの URL バーに緑色の南京錠または「https://」で示されます。標準的なベスト プラクティスとして、ユーザー入力が必要なページや個人データが含まれるすべてのページを HTTPS で暗号化する必要があります。

キャピタルワンSSL



Ebay は、支払い情報や住所情報を入力するページなど、最も重要なページでは HTTPS を使用していますが、それほど重要ではないものの機密性の高いいくつかのページでは暗号化を行っていません。

eBay いいえ https 11



たとえば、顧客が販売者とメッセージを送受信する場合、その通信はプライベート チャネル経由で送信されるわけではありません。ハッカーはメッセージを傍受して読み取るだけでなく、いわゆる「中間者」攻撃によってメッセージを変更する可能性があります。これにより、ユーザー アカウントから詐欺やスパムが送信される可能性があります。

Ebay は、内部メッセージ システムを介して特定の種類の情報が交換されることをブロックしています。その メンバー間の連絡ポリシー 状態:

また、メンバーが eBay メッセージング システム内で電子メール アドレス、電話番号、その他の連絡先情報、Web アドレス、リンクを交換することも許可していません。

これは主に、買い手と売り手が Ebay システム外で取引を手配するのを防ぐためです。これはユーザーのプライバシーをある程度保護するのに役立ちますが、HTTPS によって提供される完全なチャネル暗号化と比較すると半分の対策にすぎません。

My Ebay ダッシュボード全体には HTTPS 暗号化がありません。これには、アカウントのアクティビティ、詳細、設定、基本設定などが含まれます。これらのページ上の個人情報の多くは難読化されています。たとえば、私の電子メールは、完全な電子メール アドレスではなく「p…[email protected]」として表示されます。しかし、他の情報はそれほど隠されていません。

eBay いいえ https 22

たとえば、秘密の質問はすべて完全に表示されますが、答えは表示されません。それでも、ハッカーが秘密の質問を事前に知っていれば、おそらく答えを探し出すことができるでしょう。友人、ペット、家族に関する情報を入手するのは、おそらくそれほど難しいことではありません。それが完了すると、ハッカーはユーザーのパスワードを変更し、アカウントを乗っ取ることができます。

アカウントのアクティビティ ログも保護されません。あなたが売買したり、視聴したりするものはすべてハッカーによって閲覧される可能性があります。

「eBay は、アカウントの悪用の試みを検出して防止するために、無数の独自のテクノロジーを導入しています。これらのテクノロジーは、不正なアクセスからユーザーのアカウントを保護するために舞台裏で実行されています」と同社は声明でComparitechに語った。 「私たちはサイトのセキュリティに継続的に大規模な投資を行っています。これには、アカウントの悪用の試みを特定して防止するためのテクノロジーのさらなる開発と、eBay の重要な優先事項であるサイトでの SSL 使用の拡大が含まれます。」

イーベイは HTTPS 暗号化を欠いている唯一の Web サイトではありません , しかし、アカウントの詳細や買い手と売り手の間のメッセージが危険にさらされていることを考えると、HTTPS の必要性は明らかです。 Ebay に対し、ユーザー入力が必要なページや顧客データベースからの個人情報を提供するページに HTTPS 暗号化をできるだけ早く実装することを強く求めます。

HTTPS について詳しくは、こちらをご覧ください。 SSL暗号化ガイド

Ebay と GDPR

Ebay ではメッセージや顧客の個人情報に HTTPS 暗号化が施されていないため、今後の GDPR などの消費者データ保護法に抵触する可能性があります。

2018 年 3 月に発効し、欧州連合全体を対象とする一般データ保護規則 (GDPR) には、デフォルトでプライバシー設定を高レベルに設定することを義務付ける「プライバシー バイ デザイン」条項が含まれています。英国情報コミッショナー局は、GDPR に準拠する必要がある組織向けのガイダンスの中で、「許可された人物のみが個人データにアクセス、変更、開示、または破棄できる」と述べています。

HTTPS やその他の形式の転送中の暗号化の義務化に関する詳細はまだ GDPR に完全に具体化されていませんが、専門家は次のように考えています。 転送中の個人データの暗号化は最小限の技術的手段となります 新しい法律の下で。

VPNを使用する

Ebay で売買したいがプライバシーが心配な場合は、メッセージを送信したり My Ebay ダッシュボードにアクセスしたりする前に VPN に接続することをお勧めします。 VPN は、デバイスのすべてのインターネット トラフィックを暗号化し、選択した場所にある中間サーバーを介してトラフィックをルーティングします。これにより、HTTPS と同様のレベルのセキュリティが実現され、さらに IP アドレスがマスクされてプライバシーが強化されます。

評判の良い VPN のほとんどは、アプリのインストールが必要なサブスクリプション サービスです。登録してソフトウェアが実行されたら、サーバーを選択して接続するだけです。接続が確立されると、デバイスと VPN サーバー間のネットワークを覗き見するハッカーは、傍受したトラフィックを解読できなくなります。私たちをチェックしてください 20 を超える VPN のプライバシーとセキュリティ基準のランキング 詳しく知ることができ。

コーヒー ショップ、空港、ホテルなど、安全でない Wi-Fi や不慣れな Wi-Fi に接続する場合は、VPN が特に慎重になります。

イーベイ ” マイク・ネル著 CC BY-SA 2.0

^