Ekspert om Amazons manglende mailkryptering: »Der bør være styr på noget så simpelt«

Illustration: PathDoc, BigStock
Privacy-organisationen Noyb har anmeldt Amazon for manglende TLS-kryptering af mails. Amazon risikerer gigantisk milliardbøde, men ønsker ikke at kommentere på sagen.

Hver dag handles millionvis af varer på Amazon Marketplace, og i den forbindelse sendes millioner af mails dagligt mellem købere og sælgere, der på vejen sendes forbi tredjeparter i ren tekst uden kryptering, og Amazon bryder dermed GDPR.

Det fremgår af en anmeldelse til de tyske databeskyttelsesmyndigheder, der er foretaget af privacy-organisationen Noyb, ‘My Privacy is none of your Business’, på vegne af en sælger på Amazon Marketplace.

Den manglende kryptering bryder med artikel 32 i EU’s databeskyttelsesforordning, GDPR, der kræver, at virksomheder tager »passende« sikkerhedsforanstaltninger herunder bl.a. kryptering for at sikre fortrolig kommunikation.

Det kan ende med at koste Amazon en gigantisk bøde på flere milliarder euro, fremgår det af anmeldelsen fra Noyb, der tidligere har anmeldt Google for flere overtrædelser af GDPR, hvilket endte med, at det franske datatilsyn idømte søgegiganten en bøde på 50 millioner euro svarende til 373 millioner danske kroner.

Læs også: Fransk datatilsyn idømmer Google bøde på 373 millioner.

TLS er industristandard

»Da TLS-kryptering er meget billigt og simpelt at implementere, og da antallet af sælgere og kunder på Amazon er meget højt, så virker det upassende mod begge (køber og sælger, red.) ikke at kræve emails på TLS,« står der i en pressemeddelelse fra Noyb.

Ifølge Noyb er det »industristandard at kryptere mails med TLS«, når mails sendes rundt på nettet, men Amazons servere »afviser aktivt« TLS-forbindelser i nogle tilfælde, eksempelvis når tredjepartssælgere kommunikerer med kunder via mail på Amazon Marketplace.

Den manglende kryptering kan udnyttes af cyberkriminelle, der kan opsnappe indholdet, ændre og videresende indholdet i såkaldte man-in-the-middle-angreb eller udnytte det blottede indhold til andre former for cybercrime.

Læs også: Datatilsynet: TLS er kun minimumskravet til kryptering af mails

Dansk ekspert: »TLS er frygtelig nemt at sætte op«

Noybs påstande bakkes op af sikkerhedsrådgiver i Improsec, Claus Vesthammer, der er helt enig i, at TLS er minimumskravet for at håndtere mails på den måde, som Amazon mailløsning virker på. Han tilføjer, at GDPR er relativt klar om dette.

»TLS er frygtelig nemt at sætte op, og en så stor platform som Amazon bør have styr på noget så simpelt som kryptering mellem to mailservere. Hvis det forholder sig, som Noyb skriver, at firmaet aktivt afviser TLS, så vil jeg mene, at det er problematisk i forhold til datasikkerheden,« siger Claus Vesthammer til Version2.

»Gmail, Hotmail og selv webhoteller til én euro om måneden understøtter TLS, så det burde Amazon også nemt kunne,« siger Claus Vesthammer.

Han sammenligner manglende kryptering med at sende et postkort rundt i verden, hvor alle med postkortet i hænderne undervejs kan læse det.

Læs også: Privacy-forkæmpere: Amazons 'Ring' sender beboeres persondata til Google og Facebook

Amazon risikerer kæmpebøde

Ifølge Noyb sendes mails med SMTP-protokollen i ren tekst. Mails kan indeholde informationer om brugeres IP-adresse, mailadresser, navne, detaljer om købet såvel som andre former for metadata.

Det ville ifølge privacy-organisationen være uden problemer, så længe kommunikationskæden kun består af klient og server, men som i praksis foregår med flere led og tredjeparter.

Læs også: Halvdelen af e-mailservere har en sårbarhed, som kan give angribere frit spillerum

Noyb henviser til, at SMTP-protokollen gennem årene løbende er blevet opdateret for at undgå dette, og at protokollen i 2002 blev udvidet med TLS-kryptering for at beskytte kommunikation gennem protokollen mod aflytning og angribere.

»I det pågældende tilfælde, så vil TLS-kryptering væsentligt reducere risikoen for ulovlig adgang til den personlige data i transit,« står der i anmeldelsen fra Noyb.

Hvis de tyske databeskyttelsesmyndigheder vurderer, at Amazons systemer har været utilstrækkelige i forhold til at beskytte personers privatliv, så fortsætter sagen sandsynligvis til databeskyttelsesmyndighederne i Luxembourg, hvor Amazon har sit europæiske hovedkvarter.

Hvis det sker, så kan det resultere i, at databeskyttelsesmyndighederne giver Amazon en kæmpebøde på op mod to procent af deres globale omsætning svarende til knap 4,2 mia. euro, vurderes det af Noyb.

Amazon oplyser, at firmaet er opmærksomme på sagen, men ikke ønsker at kommentere den på nuværende tidspunkt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl Hansen

“ Han sammenligner manglende kryptering med at sende et postkort rundt i verden, hvor alle med postkortet i hænderne undervejs kan læse det.”

Så nu er der altså ulovligt at sende et postkort hjem fra ferien ?

Gad vide om Postnord store underskud skyldes GDPR bøder

  • 2
  • 8
Povl H. Pedersen

GDPR viger for andre lovkrav. I Danmark har en køber krav på en kvittering. Dette overtrumfer som udgangspunkt GDPR. Optional TLS bør dog være et minimumskrav, og tvungen mellem forhandlere og Amazon. Kunne opsættes så man eksempelvis bruge afsenderadresser med forskellige regelsæt.

Et EU land som Polen har kæmpe TLS problemer. Offentlige myndigheder i stor stil, herunder politiet, har ikke support for indgående TLS mails. Så enten er deres datatilsyn ikke enige, eller også er de ligeglade.

Ellers er Frankrig oså et u-land, specielt med det gamle statsmonopol som ISP/mailudbyder.

  • 2
  • 1
Andrew Rump

Forstå mig ret. Det er selvfølgelig fint at kryptere data hvor man kan - men her handler det om kryptering mellem servere og hvis man har adgang til at overvåge trafikken på det netværk ude på Internettet, så kan man lave mange andre ulykker. Mail data bliver f.eks. dekrypteret hver gang det hopper fra den ene server til den næste...

  • 0
  • 0
Log ind eller Opret konto for at kommentere