Ekspert om Amazons manglende mailkryptering: »Der bør være styr på noget så simpelt«

Hver dag handles millionvis af varer på Amazon Marketplace, og i den forbindelse sendes millioner af mails dagligt mellem købere og sælgere, der på vejen sendes forbi tredjeparter i ren tekst uden kryptering, og Amazon bryder dermed GDPR.

Det fremgår af en anmeldelse til de tyske databeskyttelsesmyndigheder, der er foretaget af privacy-organisationen Noyb, ‘My Privacy is none of your Business’, på vegne af en sælger på Amazon Marketplace.

Den manglende kryptering bryder med artikel 32 i EU’s databeskyttelsesforordning, GDPR, der kræver, at virksomheder tager »passende« sikkerhedsforanstaltninger herunder bl.a. kryptering for at sikre fortrolig kommunikation.

Det kan ende med at koste Amazon en gigantisk bøde på flere milliarder euro, fremgår det af anmeldelsen fra Noyb, der tidligere har anmeldt Google for flere overtrædelser af GDPR, hvilket endte med, at det franske datatilsyn idømte søgegiganten en bøde på 50 millioner euro svarende til 373 millioner danske kroner.

TLS er industristandard

»Da TLS-kryptering er meget billigt og simpelt at implementere, og da antallet af sælgere og kunder på Amazon er meget højt, så virker det upassende mod begge (køber og sælger, red.) ikke at kræve emails på TLS,« står der i en pressemeddelelse fra Noyb.

Ifølge Noyb er det »industristandard at kryptere mails med TLS«, når mails sendes rundt på nettet, men Amazons servere »afviser aktivt« TLS-forbindelser i nogle tilfælde, eksempelvis når tredjepartssælgere kommunikerer med kunder via mail på Amazon Marketplace.

Den manglende kryptering kan udnyttes af cyberkriminelle, der kan opsnappe indholdet, ændre og videresende indholdet i såkaldte man-in-the-middle-angreb eller udnytte det blottede indhold til andre former for cybercrime.

Dansk ekspert: »TLS er frygtelig nemt at sætte op«

Noybs påstande bakkes op af sikkerhedsrådgiver i Improsec, Claus Vesthammer, der er helt enig i, at TLS er minimumskravet for at håndtere mails på den måde, som Amazon mailløsning virker på. Han tilføjer, at GDPR er relativt klar om dette.

»TLS er frygtelig nemt at sætte op, og en så stor platform som Amazon bør have styr på noget så simpelt som kryptering mellem to mailservere. Hvis det forholder sig, som Noyb skriver, at firmaet aktivt afviser TLS, så vil jeg mene, at det er problematisk i forhold til datasikkerheden,« siger Claus Vesthammer til Version2.

»Gmail, Hotmail og selv webhoteller til én euro om måneden understøtter TLS, så det burde Amazon også nemt kunne,« siger Claus Vesthammer.

Han sammenligner manglende kryptering med at sende et postkort rundt i verden, hvor alle med postkortet i hænderne undervejs kan læse det.

Amazon risikerer kæmpebøde

Ifølge Noyb sendes mails med SMTP-protokollen i ren tekst. Mails kan indeholde informationer om brugeres IP-adresse, mailadresser, navne, detaljer om købet såvel som andre former for metadata.

Det ville ifølge privacy-organisationen være uden problemer, så længe kommunikationskæden kun består af klient og server, men som i praksis foregår med flere led og tredjeparter.

Noyb henviser til, at SMTP-protokollen gennem årene løbende er blevet opdateret for at undgå dette, og at protokollen i 2002 blev udvidet med TLS-kryptering for at beskytte kommunikation gennem protokollen mod aflytning og angribere.

»I det pågældende tilfælde, så vil TLS-kryptering væsentligt reducere risikoen for ulovlig adgang til den personlige data i transit,« står der i anmeldelsen fra Noyb.

Hvis de tyske databeskyttelsesmyndigheder vurderer, at Amazons systemer har været utilstrækkelige i forhold til at beskytte personers privatliv, så fortsætter sagen sandsynligvis til databeskyttelsesmyndighederne i Luxembourg, hvor Amazon har sit europæiske hovedkvarter.

Hvis det sker, så kan det resultere i, at databeskyttelsesmyndighederne giver Amazon en kæmpebøde på op mod to procent af deres globale omsætning svarende til knap 4,2 mia. euro, vurderes det af Noyb.

Amazon oplyser, at firmaet er opmærksomme på sagen, men ikke ønsker at kommentere den på nuværende tidspunkt.