eBay Hesap Güvenliği 2026: Passkey, MUAA ve API Erişim Kontrolü
eBay hesap güvenliği için passkey, 2 adımlı doğrulama, MUAA, API izinleri ve olay müdahalesini kurun; ekip erişimini ortak şifre kullanmadan yönetin.
eBay hesap güvenliği, yalnız güçlü bir parola seçmekten ibaret değildir. Dropshipping operasyonunda Seller Hub'a giren ekip üyeleri, bağlı otomasyonlar, tarayıcı eklentileri, API token'ları, payout bilgileri ve kurtarma kanalları aynı güvenlik sınırının parçasıdır. Tek bir ortak şifreyle yönetilen hesapta kimin ne yaptığı kanıtlanamaz; eski bir ajans bağlantısı aylar sonra bile gereksiz erişim taşıyabilir.
Bu rehber performans metriklerini anlatan eBay hesap sağlığı yazısından farklı olarak erişim güvenliğine odaklanır. Defect oranı iyi olan bir mağaza da phishing, oturum ele geçirme veya aşırı yetkili entegrasyon nedeniyle operasyonunu kaybedebilir.
eBay hesap güvenliğinde korunan varlıklar nelerdir?
Önce neyi koruduğunuzu yazın. Ana satıcı hesabı dışında şu varlıklar kritik kabul edilmelidir:
- Kayıtlı e-posta, telefon ve hesap kurtarma kanalları
- Payout banka bilgileri ve ödeme raporları
- Aktif listing, fiyat, stok ve business policy ayarları
- Buyer mesajları, adres ve sipariş verileri
- API refresh token'ları ve üçüncü parti uygulama izinleri
- Ekip kullanıcıları, ajanslar ve dış kaynak çalışanları
- Supplier ve kâr verisi içeren dışa aktarımlar
Bu liste olmadan güvenlik kontrolü “şifreyi değiştirdik” seviyesinde kalır. Bir saldırgan payout hesabını değiştirmese bile yüzlerce ilanı sonlandırabilir, fiyatları bozabilir veya müşteri verisini dışarı aktarabilir.
Passkey, 2SV ve parola karşılaştırması
| Giriş yöntemi | Artıları | Eksileri | Operasyon notu |
|---|---|---|---|
| Yalnız parola | Her yerde tanıdık | Phishing, tekrar kullanım ve paylaşım riski yüksek | Tek başına yeterli kabul etmeyin |
| Parola + 2SV | İkinci doğrulama katmanı ekler | SMS, cihaz ve kurtarma süreci dikkat ister | Her kullanıcı kendi yöntemini kurmalı |
| Passkey | Parolasız, cihaz/hesap sağlayıcısı tabanlı ve phishing'e daha dayanıklı | Cihaz geçişi ve kurtarma planı gerekir | Desteklenen cihazlarda güçlü varsayılan |
eBay'in hesabı güvenli tutma rehberi, 2 Step Verification'ı önerir ve passkey'in parolasız giriş için biyometrik doğrulama, PIN veya cihaz desenini kullanabildiğini açıklar. Passkey kurmak, kurtarma sürecini görmezden gelmek anlamına gelmez. En az iki yetkili yönetici, güncel iletişim bilgileri ve cihaz kaybı prosedürü olmalıdır.
Ortak bir telefon numarasını bütün ekip için ikinci faktör yapmak da tek hata noktası yaratır. Her kişinin kendi hesabı ve kendi doğrulama yöntemi olmalıdır.
Ortak şifre yerine MUAA kullanın
Multi-user account access, eBay satıcı hesabının belirli iş akışlarına başka eBay kullanıcıları üzerinden yetki vermeyi amaçlar. eBay'in MUAA ve güvenlik açıklaması, yetkilendirilen kullanıcıların kendi eBay hesabı ve şifresiyle giriş yaptığını ve belirli aksiyonları satıcı adına gerçekleştirebildiğini belirtir.
Üç erişim modelini karşılaştırın:
| Model | İzlenebilirlik | Risk | Uygunluk |
|---|---|---|---|
| Ana şifreyi paylaşmak | Çok zayıf | Ayrılan kişi erişimi sürdürebilir; aksiyon sahibi belirsiz | Kullanmayın |
| MUAA ile kullanıcı vermek | Kullanıcı bazlı | Yanlış veya fazla izin atanabilir | Seller Hub işi yapan ekip |
| API/OAuth entegrasyonu | Uygulama bazlı | Token ve kapsam yönetimi gerekir | Otomatik, tekrarlı sistem işi |
MUAA sihirli güvenlik çözümü değildir. Yetki verirken görev bazlı ilerleyin. Müşteri hizmetleri kullanıcısının payout ayarına, içerik editörünün sipariş verisine veya geçici ajansın bütün mağaza fonksiyonlarına ihtiyacı olmayabilir. eBay arayüzündeki güncel izin seçeneklerini kontrol edin ve minimum gerekli yetkiyi seçin.
API bağlantılarında asıl risk token yaşam döngüsüdür
API anahtarı ile kullanıcı yetkilendirmesi aynı şey değildir. Bir entegrasyon uygulama kimliğiyle çalışırken satıcı adına işlem yapmak için OAuth erişim ve yenileme token'ları kullanabilir. Risk, token'ı bir kez alıp unutmakla başlar.
Her bağlantı için şu envanteri tutun:
- Uygulama veya araç adı
- İş sahibi ve teknik sahibi
- Hangi eBay hesabına bağlı olduğu
- İstenen izin kapsamları
- Token'ın saklandığı sistem
- Son başarılı kullanım ve son denetim tarihi
- Bağlantıyı iptal etme adımı
- Araç kapandığında veri silme ve erişim kaldırma planı
Refresh token'ı e-posta, chat veya spreadsheet içinde taşımayın. Uygulama loglarında access token, buyer verisi veya tam adres görünmemelidir. Üretim ve test bağlantılarını ayırın. Bir çalışan ayrıldığında yalnız eBay parolasını değiştirmek, dış uygulama token'ını otomatik olarak kaldırmış sayılmaz.
Tarayıcı eklentileri ve no-code araçlar için güven sınırı
Dropshipping ekipleri veri kopyalama, supplier import ve mesaj şablonları için tarayıcı eklentileri kullanabilir. Eklentinin geniş site erişimi varsa eBay ve supplier sekmelerindeki veriyi okuyabilme ihtimali değerlendirilmelidir. “Chrome mağazasında var” güvenlik incelemesi değildir.
Araç kabul kontrolü:
- Yayıncı ve resmi alan adı eşleşiyor mu?
- İstenen tarayıcı izinleri işlevle orantılı mı?
- eBay parolası doğrudan araca yazılıyor mu?
- OAuth/official authorization kullanılabiliyor mu?
- Veri nerede saklanıyor ve nasıl siliniyor?
- Güvenlik olayı bildirim kanalı var mı?
- Araç kaldırıldığında eBay tarafındaki bağlantı da iptal ediliyor mu?
eBay API ile no-code otomasyon karşılaştırması maliyet ve bakım kararını açıklar. Güvenlik açısından temel fark, hazır aracın otomatik olarak güvenli veya özel entegrasyonun otomatik olarak riskli olmamasıdır; belirleyici olan izin, token, log ve sahiplik disiplinidir.
Payout değişiklikleri için iki kişi kontrolü kurun
Payout banka bilgisi, ana e-posta, telefon, business address ve kullanıcı izinleri yüksek etkili değişikliklerdir. Küçük ekipte bile bu değişiklikler ikinci kişi tarafından doğrulanmalıdır. Sistem teknik olarak çift onay sunmasa bile operasyon kuralı uygulanabilir:
- Değişiklik talebi kayıt altına alınır.
- Talep sahibi ve uygulayan kişi mümkünse ayrılır.
- Doğrulama eBay mesajı veya doğrudan güvenilir URL üzerinden yapılır.
- Eski ve yeni değer, hassas bilgi maskelenerek denetim kaydına eklenir.
- İlk payout veya giriş olayı sonrası kontrol tamamlanır.
E-postadaki bağlantıya tıklayıp giriş yapmak yerine eBay adresini doğrudan açın. eBay, şüpheli mesajların spoof@ebay.co.uk adresine iletilebileceğini kendi güvenlik rehberinde belirtir.
Üç aylık erişim denetimi
Her çeyrekte 30 dakikalık erişim denetimi planlayın. Şu sorulara kanıtla cevap verin:
- Aktif bütün kullanıcılar halen ekipte mi?
- Her kullanıcı yalnız gerekli iş akışlarına mı erişiyor?
- Passkey veya 2SV durumu güncel mi?
- Güvenilir cihaz listesinde tanınmayan cihaz var mı?
- Kullanılmayan üçüncü parti uygulama bağlantısı var mı?
- Tarayıcı eklentileri halen gerekli ve güncel mi?
- Kurtarma e-posta/telefonu şirkette kontrol edilen kanallar mı?
- API token ve secret'ları loglara sızıyor mu?
- Geçici erişimlerin bitiş tarihi geçmiş mi?
Denetimin çıktısı “kontrol edildi” olmamalıdır. Kaldırılan kullanıcı, daraltılan izin, iptal edilen bağlantı ve açık kalan risk ayrı satırda yazılmalıdır.
Hesap ele geçirilmesi şüphesinde olay planı
Şüpheli listing değişikliği, tanımadığınız giriş bildirimi veya payout değişikliği gördüğünüzde panik içinde bütün veriyi silmeyin. Önce güvenilir cihazdan doğrudan eBay'e gidin ve olay zamanını kaydedin.
Önerilen sıra:
- Ana e-posta hesabını ve eBay girişini güvene alın.
- Parola, passkey ve 2SV ayarlarını kontrol edin.
- Tanımadığınız oturum, cihaz, MUAA kullanıcısı ve uygulama bağlantısını kaldırın.
- Payout ve iletişim bilgilerindeki değişiklikleri inceleyin.
- Aktif listing, fiyat ve siparişlerde beklenmeyen işlemleri dışa aktarın.
- eBay destek/güvenlik kanalıyla olay kaydı açın.
- Bağlı araçların token ve secret'larını döndürün.
- Müşteri veya kişisel veri etkilenmişse yasal bildirim yükümlülüklerini uzmanla değerlendirin.
Kanıt toplamadan toplu düzeltme yapmak olayın kaynağını gizleyebilir. Ancak aktif zarar sürüyorsa erişimi kesmek önceliklidir.
TurkoLister bağlantısını güvenli değerlendirme
TurkoLister free trial dahil herhangi bir eBay aracını aynı kontrol listesiyle değerlendirin: şifre paylaşımı istiyor mu, yetkilendirme nasıl yapılıyor, hangi verilere neden erişiyor, bağlantı nasıl iptal ediliyor ve ürün verisi nerede tutuluyor? Güvenli araç seçimi marka adına değil kanıtlanabilir erişim modeline dayanır.
TurkoLister'ın listing, supplier, stok-fiyat ve kâr iş akışını merkezileştirmesi ekran ve manuel veri aktarımını azaltabilir. Ancak ekip kullanıcıları, eBay doğrulama ayarları ve şirket içi cihaz güvenliği yine satıcının sorumluluğundadır.
Sonuç
eBay hesap güvenliği; passkey veya 2SV, kullanıcı bazlı MUAA erişimi, minimum API kapsamı, token envanteri ve düzenli denetimin birlikte çalışmasıdır. Ana şifreyi ekip içinde dolaştırmayın, bağlı araçları unutmayın ve yüksek etkili değişikliklerde ikinci kişi kontrolü kullanın. Sağlıklı mağaza yalnız düşük defect oranına değil, kimin hangi yetkiyle ne yaptığının kanıtlanabildiği bir erişim sistemine de ihtiyaç duyar.
Sık Sorulan Sorular
eBay hesabında passkey mi 2 adımlı doğrulama mı kullanılmalı?
Passkey parola oltalamasına karşı güçlü bir giriş seçeneğidir; 2 adımlı doğrulama da ek katman sağlar. Hesabın sunduğu seçenekleri, güvenli kurtarma yöntemleriyle birlikte etkinleştirin.
eBay MUAA nedir?
Multi-user account access, ekip üyelerinin kendi eBay hesaplarıyla belirli iş akışlarına yetkili erişim almasını sağlar; ana hesabın şifresini paylaşma ihtiyacını azaltır.
Üçüncü parti eBay uygulamalarını ne sıklıkla denetlemeliyim?
En az üç ayda bir ve ekip, araç veya ajans değişikliğinde hemen denetleyin. Kullanılmayan bağlantıları kaldırın, kapsamı ve iş sahibini kaydedin.
TurkoLister kullanmak eBay şifremi paylaşmayı gerektirir mi?
Güvenli entegrasyonlar eBay'in yetkilendirme akışını ve gerekli izin kapsamını kullanmalıdır. Hiçbir araç için ana eBay şifresini mesaj, tablo veya ekip üyeleriyle paylaşmayın.