Καταγγελία: Η Amazon δεν επιτρέπει τη βασική ασφάλεια TLS

Μαρ 02, 2020

Λείπει η βασική ασφάλεια ηλεκτρονικού ταχυδρομείου. Κατά τη διαδρομή τους προς τον παραλήπτη, τα μηνύματα ηλεκτρονικού ταχυδρομείου διακινούνται από διαφορετικές οντότητες, κόμβους και παρόχους υπηρεσιών που ενδέχεται να υποκλέψουν, να χειριστούν και να χρησιμοποιήσουν παράνομα το περιεχόμενο. Προκειμένου να μειωθούν αυτοί οι κίνδυνοι, είναι βασικό βιομηχανικό πρότυπο η χρήση της λεγόμενης κρυπτογράφησης TLS.

«Το TLS είναι σαν φάκελος γύρω από ένα γράμμα. Εάν δεν χρησιμοποιηθεί, ο καθένας μπορεί να διαβάσει το περιεχόμενο ενός email κατά τη μεταφορά . "

Stefano Rossetti, δικηγόρος απορρήτου στο noyb

 

Παραδόξως, οι διακομιστές Amazon απορρίπτουν συνδέσεις TLS σε ορισμένες περιπτώσεις, για παράδειγμα όταν τρίτοι πωλητές στο Amazon επικοινωνούν με πελάτες μέσω email. Αυτό σημαίνει ότι εκατομμύρια email που αποστέλλονται μέσω του Amazon ενδέχεται να εκτίθενται καθημερινά.

Παραβίαση του GDPR . Το άρθρο 32 του GDPR απαιτεί από τις εταιρείες να εφαρμόζουν «κατάλληλα» μέτρα ασφαλείας, όπως η κρυπτογράφηση, για την προστασία του απορρήτου των επικοινωνιών. Δεδομένου ότι η κρυπτογράφηση TLS είναι πολύ φθηνή και απλή στην εφαρμογή και ο αριθμός των πωλητών και των πελατών στο Amazon είναι πολύ υψηλός, φαίνεται ακατάλληλο να μην απαιτείται ούτε να επιτρέπεται το TLS για μηνύματα ηλεκτρονικού ταχυδρομείου.

Η καταγγελία κατατέθηκε σήμερα. Η noyb υπέβαλε καταγγελία στην εποπτική αρχή του κράτους της Έσσης στη Γερμανία εκ μέρους ενός πωλητή της Amazon. Η αρχή προστασίας δεδομένων της Hessia θα πρέπει να διερευνήσει το ζήτημα και να επαληθεύσει εάν τα συστήματα της Amazon προστατεύουν κατάλληλα το απόρρητό μας. Είναι πιθανό ότι αυτή η υπόθεση θα αντιμετωπιστεί επίσης από την Αρχή Προστασίας Δεδομένων του Λουξεμβούργου, καθώς η Amazon έχει την ευρωπαϊκή έδρα της στο Λουξεμβούργο. Σε μια τέτοια περίπτωση, οι DPA μπορούν να επιβάλουν πρόστιμο στην Amazon έως και 2% του παγκόσμιου κύκλου εργασιών της, που θα ανερχόταν σε 4,2 δισεκατομμύρια ευρώ.

Uploads