15:04
20/12/2017

“Wszedłem na stronę sklepu internetowego X. Bez logowania dodałem do koszyka telefon, ale nie zakończyłem zakupów. Zamknąłem przeglądarkę …i dostałem e-maila w sprawie dokończenia zakupów w sklepie X, który nie miał żadnych moich danych! Wiadomość przyszła na e-maila, którego podałem przy rejestracji w sklepie Y. Sklepy te nie są ze sobą powiązane!” Opisy takich sytuacji dostajemy od Czytelników regularnie. I mamy dla Was dobrą wiadomość — nie jesteście paranoikami ani ofiarami kradzieży tożsamości czy wycieku danych. Zauważyliście działanie pewnego mechanizmu marketingowego, który — jak twierdzi firma będąca jego autorem — korzysta z Waszych danych ze sklepu Y do komunikacji w sprawie niedokończonych zakupów w sklepie Z, ale danych tych sklepowi Y faktycznie nie przekazuje.

Porzucony koszyk da się uratować?

Święta idą, sezon zakupowy w pełni! Z tej okazji odwiedzacie strony różnych sklepów, niekoniecznie po to by coś kupować. Szukacie inspiracji, porównujecie ceny i nagle BAM! Na waszą skrzynkę wpada wiadomość od sklepu, który chwilę temu tylko przeglądaliście i w którym nigdy nie zostawiliście żadnych swoich danych. Skąd sklep ten ma Wasze dane?

Oto przykładowa historyjka Czytelnika:

Wyszukałem w Google nazwę pewnej firmy, butiku. Kliknąłem na stronę innej firmy – ebutik.pl Ponieważ nie ta firma mnie interesowała zamknąłem stronę.
Patrzę w e-mail – otrzymałem reklamę firmy… ebutik.pl Na innych kartach Firefoxa miałem otwartego Facebooka i e-maila na Onecie. Możliwe, że ta strona odczytała jaki mam e-mail i wysłała mi spama? Jak to zrobiła? A może to tylko przypadek? Chociaż koincydencja zaskakująca.

Nasz inny Czytelnik przeglądał prezenty w CrazyShop.pl i zainteresował go zestaw herbat. Również nigdzie się nie logował i nie podawał adresu, ale po chwili dostał e-mail reklamę CrazyShop. Ten czytelnik również założył, że musiało to mieć coś wspólnego z Facebookiem, skoro właśnie ten serwis miał otwarty w drugiej karcie.

Taki historyjek czytaliśmy jeszcze więcej, ale do rzeczy! Te przypadki nie miały związku z Facebookiem czy pocztą Onetu. Ani z handlem Waszymi danymi.

To nie Facebook! To ConversionLabs!

Pobieżna analiza nagłówków wskazywała na udział w wysyłce firmy Conversion Labs. Oferuje ona “identyfikację użytkowników” z możliwością geotargetingu, personalizacji treści, opóźnionej wysyłki itd. Firma obiecuje “odzyskiwanie utraconych koszyków”, a z jej narzędzi korzystają m.in. Vectra, T-Mobile, Orsay, Redcoon, Castorama i inne duże firmy.

Czy to oznacza, że ConversionLabs zdobywa i przekazuje dane osobowe klientów różnym sklepom, a zwłaszcza tym, którym internauta danych nie chciał zostawić? Wcale nie. Wytłumaczył nam to Krzysztof Łada, Członek Zarządu ds. Rozwoju Biznesu ConversionLabs Sp. z o.o.

Marcin Maj, Niebezpiecznik: Coraz częściej dostajemy od zdumionych Czytelników e-maile wysyłane przez różne sklepy z użyciem infrastruktury ConversionLabs. Czy może Pan wyjaśnić stosowany przez was mechanizm?

Mechanizm naszej usługi jest w swoim działaniu zbliżony do powszechnie znanego i wykorzystywanego na rynku retargetingu banerowego. Użytkownicy rejestrując się we współpracujących z nami bazach wyrażają zgodę na to aby administrator bazy mógł kierować do nich korespondencję handlową. My, za pomocą pliku cookie oznaczamy przeglądarkę takiego użytkownika. W pliku tym mamy zapisany anonimowy identyfikator określający, która ze współpracujących z nami baz posiada do danego użytkownika kontakt wraz ze zgodą na otrzymywanie korespondencji handlowej.

W momencie kiedy użytkownik za pośrednictwem oznaczonej przeglądarki odwiedza witrynę naszego [kolejnego — dop. redakcji] klienta jest rozpoznawany przez umieszczony tam nasz skrypt i jeżeli nie dokona rejestracji, zakupu lub innej oczekiwanej akcji to może za naszym pośrednictwem otrzymać maila od właściciela sklepu [na dane, które zostały pozyskane od innych partnerów — dop. red.] gdzie bardzo często znajdują się dodatkowe zachęty do dokończenia zakupu w postaci np. rabatów na oglądane towary.

Załóżmy więc, że Media Markt jest klientem Conversionlabs i Opel jest też jest klientem. Jak rozumiem — jeśli wejdę na Media Markt, założę tam konto i po jakimś czasie wejdę na serwis Opla to mogę dostać e-maila od Opla, ale na adres podany Media Marktowi? Czy tego maila wyślą serwery Media Marktu?

Maile wysyłane są przez administratorów współpracujących z nami baz danych. Dzieje się to na podstawie informacji przekazanej za pośrednictwem API zawierającej anonimowy dla Conversion Labs identyfikator oraz treść maila. Tylko administrator bazy danych wie, który jego użytkownik znajduje się pod konkretnym identyfikatorem i to administrator za pośrednictwem swoich serwerów wysyła do użytkownika maila z treścią handlową, gdyż to administrator jest beneficjentem zgody marketingowej.

Elementem, który jest przekazywany pomiędzy stroną klienta, Conversion Labs a administratorem bazy danych jest identyfikator użytkownika zapisany w pliku cookie. Identyfikator ten dla wszystkich uczestników procesu, poza administratorem bazy danych, w której użytkownik jest zarejestrowany i gdzie wyrażał potrzebne zgody marketingowe,  jest anonimowy.

Ale na stronie ConversionLabs czytam, że dokonujecie “identyfikacji użytkownika”?

Identyfikacja jest w tym momencie tylko wirtualnym pojęciem i użytkownik nie ma się czego obawiać w kontekście danych osobowych.

Jakie zabiegi powinna podjąć osoba, która nie chce być “identyfikowana” na stronach?

Jak już wspomniałem, identyfikacja sensu stricte nie następuje i użytkownik pozostaje zarówno dla nas jak i dla naszego klienta anonimowy. Jeśli jednak nie chce w dalszym ciągu otrzymywać takiej korespondencji to w każdym, przesłanym przez nas mailu znajduje się link umożliwiający łatwe wypisanie się z bazy, za której pośrednictwem go otrzymał. Istnieje również możliwość usunięcia plików cookies lub przeglądania Internetu w trybie incognito gdzie nie ma praktycznie możliwości monitorowania działań takiego użytkownika za pośrednictwem naszych narzędzi.

Wśród klientów ConversionLabs są banki. Czy to znaczy, ze mogę być zidentyfikowany na stronie jakiegoś sklepu jako klient banku?

Nie ma takiej możliwości. Nie mamy prawa udostępniać danych pomiędzy naszymi klientami.

Podsumowanie

Nie piszemy o ConversionLabs dlatego, że widzimy w działaniu tej firmy jakiś znaczący problem bezpieczeństwa. Po wielu zgłoszeniach postanowiliśmy po prostu wytłumaczyć jak dokładnie działa ta usługa, której działanie dla wielu nie jest w pełni zrozumiałe. Dostrzegamy też, że dobrze jest tłumaczyć jak działają mechanizmy internetowego marketingu i jaki wpływ one mają na Waszą prywatność. Dlatego wcześniej pisaliśmy co robi firma Selectivv śledząca korzystanie z aplikacji mobilnych oraz jakie problemy mogą się wiązać ze skryptami nagrywającymi zachowania użytkownika przeglądającego stronę internetową.

Pisaliśmy też już wielokrotnie, że śledzenie w aplikacjach (nie tylko mobilnych) można przerwać resetując swój “profil reklamowy”. Śledzenie przez ciasteczka (a z takiego mechanizmu korzysta ConversionLabs) również łatwo jest przerwać. Pamiętajcie też, że nie musicie wyrażać zgód marketingowych wszędzie gdzie tylko jesteście. Zauważcie, że niektóre zgody dają możliwość przetwarzania danych nie tylko danej firmie, ale również jej mniej lub bardziej licznym partnerom. Dlatego na przykład korzystanie z kalkulatora AXA może się skończyć otrzymaniem telefonu od mBanku.

Usługa ConversionLabs robi na ludziach wrażenie, ponieważ jej efektem jest bardzo wyraźnie odczuwalna akcja skierowana w stronę użytkownika (“Ojej! Dostałem maila! A myślałem, że nikt nie wiedział co robię na stronie, skoro na niej się nie zalogowałem i myślałem, że nikt nie wie kim jestem, skoro nie podałem tam żadnych danych”). Jest to bardzo dobry przykład tego, że droga od “anonimowego identyfikatora” do Ciebie może być pokonana szybciej niż Ci się wydaje.


Aktualizacja 21.12.2017, 13:45
Pytaliście jak wyglądają nagłówki e-maili. Przedstawiamy więc jeden z nich:


Received: from smtp2-340.conversionlabs.org.pl (smtp2-340.conversionlabs.org.pl [185.70.39.173])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx.poczta.onet.pl (Onet) with ESMTPS id 3vkN6k1fPSz6Cfr1b
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=conversionlabs.org.pl;
s=conversionlabs; t=1489655582; bh=6qJ5t5oxHF8sHlSjD3oug8nLyIA=;
h=To:Subject:Date:From:List-Unsubscribe;
b=n4BnsPXe475nWPw7hVaMro/4DApQJ7DpssX0TUh3n/w7/IbtpK57aWYCeBViaecJO
xzpgjnXdiszrZ4x2VigXImLQfP8QjWuvGJPp7liUAsbqbOosorAsem+BLialnGnX+K
mIAP1TQVYDed9kZYI8XHoP25Nqd06ARChu0m/zxg=
Received: by api2.emaillabs.net.pl (Postfix, from userid 1000)
id 3vkN6j65cwz2024f; Thu, 16 Mar 2017 09:13:01 +0000 (UTC)
Subject: =?utf-8?Q?Odbierz_sw=C3=B3j_kod_rabatowy_i_sprawd=C5=BA_promocje_w_eButik?= =?utf-8?Q?.pl_>>?=
From: "eButik.pl"
Message-ID:
X-Mailer: PHPMailer 5.2.16 (https://github.com/PHPMailer/PHPMailer)
X-EMAILLABS-API: (Authenticated sender: 5.conversionlabs.smtp) with API id aaaaaaal
MIME-Version: 1.0

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

77 komentarzy

Dodaj komentarz
  1. > sensu stricte

    sensu stricto się mówi

    • Panie Macieju, proszę o komentarz do tych nagłówków. Prośba nie była bezcelowa. Czy widzi Pan nagłówek from? Kto więc miał adres e-mail i się tego wyparł? Proszę o komentarz w tej sprawie.

    • @Kraina Grzybów TV

      Pole “From” jest absolutnie nie świadczy absolutnie o niczym i mogę tam sobie wysyłając wiadomość wklepać co tylko mi się podoba. Ważny jest adres kopertowy, który zobaczysz tylko w logu SMTP.

    • Dokładnie, natomiast nagłówek Received w cytowanym mailu ewidentnie wskazuje, że maila wysyła firma ConversionLabs (w imieniu swojego klienta).

  2. Niedawno postanowiłem być grzecznym użytkownikiem internetu i zrezygnować ze wszelkiej maści blockerów, ale dzisiaj przekonaliście mnie – wracam do starych nawyków przy okazji instalując wszelkie możliwe antytrackery.

    • Domyślnie Adblock Plus blokuje tylko natrętne albo szpiegujące reklamy. Mimo to wiele stron prosi o jego wyłączenie (albo żąda, blokując dostęp do treści w przeciwnym wypadku).

    • po co anty-trackery? odpalaj czystą przeglądarkę wyłącznie w Sandoboxie i ustaw automatyczne czyszczenie piaskownicy po zamknieciu aplikacji. żaden cookie ani evercookie i inne zabiegi nie przetrwają. za kazdym odpaleniem browsera masz czyste konto.

      oczywiście wszystko straci sens jesli przegladarke odpalisz poza sandboxie i pochodzisz sobie po stronach i nałapiesz “znaczników”.

      minus taki ze musisz sie wszedzie logowac, co tez jest plusem bo przegladarka nie ma zadnych informacji o twoich kontach.

      do tego jest to kolejna warstwa ochrony w razie 0-day na przegladarke (nie rozniesie sie po systemie, wykrzaczy sie w sandboxie)

    • Cookie autodelete w FF pomaga.

    • @Seba – takie strony się zamyka i o nich zapomina. Oraz nigdy i nigdzue nie wyłącza AdBlockerów.

    • @As
      Aż boję się pomyśleć co ty oglądasz, skoro tak bardzo martwisz się o prywatność..

    • @Damian Po prostu nie jest lemingiem. Ot, cala tajemnica.

    • Niektórzy chyba dalej nie rozumieją jak to działa.
      1. Proszę zobaczyć na youtube filmik jak śledzi google, kazdemu jest przypisywany numer.
      Wystarczy że każdy serwis ujawni jakie IP go odwiedzało, a google bez wyszukiwarki będzie wiedzieć na jakie strony wchodziłeś. Tu nie są potrzebne żadne cookies.
      2. Proszę przeczytać jeszcze raz artykuł na górze.
      Tam pisze, że musimy być zarejestrowani na jednym z serwisów,
      gdzie zazwyczaj niechcący mogliśmy wyrazić zgodę na odsprzedawanie naszych danych innym osobom.

  3. W Safari już to nie przechodzi, w standardzie. A uBlock, polecam.

  4. teraz tylko brakuje wyszukiwarki, dzięki której można wyszukać w ilu bazach danych znajduję się ja (mój ID przeglądarki, mail lub inne dane)

    Czy do tego służy MALTEGO ?

  5. Ma ktoś regułkę na ConversionLabs do uBlocka?

    • zacznij od wyłączenia 3rd party cookies w przeglądarce i skryptów i ramek zewnętrznych w ub0, prawdopodobnie pomoże

  6. Kasujemy cookies, blokujemy JavaScript, zmieniamy UserAgent. Ja nigdy takiego e-maila nie dostałam.

    • Ustawicznie kasując cookies ustawienia stron będą się wciąż resetować (np. będziesz naokrągło gnębiony przez ekran “prywatności” Google jeśli skorzystasz z ich wyszukiwarki lub z Youtube). Wyłączenie Javascript sprawi, że działać poprawnie będą jedynie proste strony oparten a HTML i CSS, a wszystkie większe serwisy praktycznie działać nie będą.

  7. Ciekawe jak będzie taki biznes wyglądał po wejściu RODO

    • Kiepsko. Już się słabo broni bo anonimowy identyfikator nie jest anonimowy i można po nim zidentyfikować użytkownika. Anonimizacja która jest odwracalna jest słabą anonimizacją.
      Teoretycznie ten numer jest w jakiś sposób daną osobową. Nie dość że można po nim nas zidentyfikować to można się o nas dowiedzieć wielu prywatnych rzeczy.
      Nie jest to nic innego jak handel danymi w ładnym papierku.
      Całe RODO będzie fikcją bo dowali kary dla uczciwych firm a spece od reklamy znajdą milion sposobów żeby naszymi danymi się wymieniać.

      Co ciekawe taki mechanizm może prowadzić do ujawnienia informacji o użytkowniku komputera osobie trzeciej. w przypadku używania komputera przez kilka osób możemy wejść w posiadanie informacji o innym użytkowniku.

    • jak to jak bedzie wygladal. Biznes bedzie zarejestrowany na wyspach Tonga albo Hula-Gula (:)) i RODO bedzie moglo go pocalowac…. Wezykiem!…

    • RODO obowiązuje wszystkich, którzy przetwarzają na terenie UE, także niech się rejestruje nawet w Malezji i tak musi przestrzegać.

      Anonimizacja tutaj żadna, ale pseudonimizacja już może być. Niby pełne dane ma jeden podmiot ale z drugiej strony wykorzystanie ich leży w interesie innego podmiotu, który decyduje tym samym o środkach i celach przetwarzania. Można się czepiać.

      Poza tym ciekawe jak ta “zgoda” wygląda bo wydaje się że musi tam być litania potencjalnych odbiorców danych.

    • Biznes będzie się miał dobrze jak do tej pory. Już zadbali o możliwość nękania ofertami. Preambuła do RODO

      (47) Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej(…). Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

    • https://pl.euro-linux.com/eurodb-sposobem-rodo-czyli-o-rozporzadzeniu-szyfrowaniu-danych/ tutaj macie dość jasno opisane kwestie związane z RODO.

    • @Krzysztof Kozłowski – jaki anonimowy identyfikator? Ten mail został według tekstu wysłany from …? Oni mają twój adres jeżeli wysłali Ci maila. Co innego gdyby w nagłówku from był serwer eButiku.

  8. Podpisujesz, to się nie dziw – mówi stara zasada offline. Online też to działa jak widać. Dopisałeś się do jakiejś bazy mailem własnym zamiast specjalnie założonym na takie bzdety spamtrapem, to się nie dziw że dostajesz “zaproszenia do dokończenia koszyka” :> Dla chrome powinno pomóc vanilla cookie manager – przy każdym uruchomieniu przeglądarki albo wg zadanego czasu, kasuje ciastka których nie dodano do whitelisty.

  9. Czyli, idąc przykładem z artykułu, Media Markt dostaje informację, że byłem w Oplu? To są dwa dość różne przykłady, ale jeśli jest tak jak napisałem, a firmy byłyby konkurencyjne to ta pierwsza dowiaduje się, że konkurencja też mnie interesuje i może wtedy również wysłać mi jakąś ofertę. Zgadza się?

    • Problem jest jeszcze smieszniejszy. Wystarczy ze taka firma wysle list nie ‘gole ascii’ ale z trackujacym skryptem sciaganym z obrazkiem, Czyli – “ja go nie zabilem ale tylko udostepnilem noz zainteresowanemu i zwiazalem denata aby nie uciekl”.
      Niestety siec dryfuje w paskudnym kierunku….

    • @sjs, jeśli dobrze zrozumiałem zasadę, to nie. Klienci CL (np. MediaMarkt i Opel) nie znają się nawzajem. Jeśli najpierw wejdziesz na stronę MM, a potem Opla, to Opel uzyskuje usługę polegającą na tym, że to właśnie Ty, który przed chwilą nic u niego nie kupiłeś, dostaniesz maila. Ale Opel nie wie, czy CL wziął Twój adres e-mail z bazy MM, Saturna, Euro, czy jakiegokolwiek innego sklepu. Opel nie zna też Twojego adresu e-mail. Technicznie maila wysyła do Ciebie MM, a nie Opel ani CL. Wreszcie, zidentyfikować Cię może wyłącznie MM.

      Do perfekcji tego modelu brakuje mi tylko potwierdzenia, że MM nie zna treści wysyłanego maila, ale nie widzę tego nigdzie napisanego, a z samego stwierdzenia, że MM wysyła maila, należy raczej wywnioskować, że MM wie, iż wysyła maila od Opla. Czy Niebezpiecznik może to potwierdzić? Bo jeśli MM wie, co wysyła, to w przypadku dwóch konkurencyjnych firm widziałbym tu pewien zgrzyt…:)

    • Tak, MM zna treść maila wysyłanego do jego użytkownika, nie może być inaczej, bo nie dałoby się takiego maila wysłać ;-)

    • Żadna z firm nie wie, że odwiedziłeś inną stronę. Cały proces wygląda następująco:
      Wchodzisz na stronę MediaMarkt. Skrypt ConversionLabs na tej witrynie nadaje twojej przeglądarce numer np. 123. Kupujesz jakiś produkt, więc w procesie zakupowym dodajesz maila i zaznaczasz okienka ze zgodami. I teraz, oprócz tego, że twój adres mailowy trafia do bazy MediaMarkt, co jest oczywiste i związane z realizacją usługi, twój adres mailowy zostaje również powiązany z twoim numerem “123” w bazie ConversionLabs, do której MediaMarkt nie ma dostępu.
      Kilka dni później wchodzisz na stronę Opla, która również ma skrypt ConversionLabs. Skrypt sprawdza, czy posiadasz cookie z numerem identyfikacyjnym. Okazuje się, że posiadasz cookie z numerem 123. Oglądasz jeszcze chwilę produkty i następnie wychodzisz ze strony. Automat widzi, że cookie z numerem 123 nie zrealizowało celu na stronie (czyt. nic nie kupiłeś) i sprawdza w bazie ConversionLabs czy 123 ma przypisany adres mailowy. Jeżeli tak to na adres mailowy przypisany do numeru 123 ConversionLabs wysyła wiadomość przygotowaną jakoś wcześniej przez Opla.
      Opel nie ma pojęcia na jakich innych stronach użytkownik 123 był, kim on jest, ani skąd się wziął jego adres mailowy. Opel jedynie kupuje usługę wysyłania maili z przypomnieniem dla niezarejestrowanych użytkowników w całości obsługiwaną przez firmę trzecią do bazy której nie ma dostępu.
      Nie ma takiej możliwości, aby Opel kupił usługę wysyłania maili tylko do użytkowników, którzy wcześniej byli na stronie MediaMarkt. Wiedza o tym, kto był gdzie nie jest udostępniana innym firmom.

      Z tego co widzę, spora część paniki o prywatność w sieci bierze się stąd, że ludzie totalnie nie rozumieją mechanizmów kryjących się za personalizacją i nawet ludzie z poza branży marketingowej badający te rzeczy również dolewają oliwy do ognia opierając się na swoich domysłach i fobiach, a nie na dokumentacji technicznej. Sprawie nie pomaga też tajemniczość firm analitycznych, które starając się chronić własny produkt i przewagę konkurencyjną nie udostępniają szczegółowych informacji, jak ta cała “magia” się odbywa, co do pewnego stopnia jest zrozumiałe.

      Oczywiście, przy tym wszystkim co napisałem wyżej, ja również popieram potrzebę regulacji w tym obszarze, bo przy odrobinie złej woli tacy gracze jak Google, Facebook czy rząd, którzy obserwują znaczą część naszego życia online mogą sprawić dużo krzywdy, ale to nie jest tak, że Saturn, który wyświetla Ci reklamę blendera na Onecie zna całą historię lekarstw, które wyszukiwałeś w Google.

  10. “Identyfikacja jest w tym momencie tylko wirtualnym pojęciem i użytkownik nie ma się czego obawiać w kontekście danych osobowych. – Adresy email są danymi osobowymi! Dużo osób można wyszukać po adresie. Dziwię się że strona jak niebezpiecznik przeprowadziła wywiad z taką firmą. Dla mnie jest to działanie na szkodę internautów. Osobiście nigdy nie skorzystam z usług sklepu który wyśle mi taki spam (nazwijmy to po imieniu to jest spam!)

    • Jeśli adres email nie może zostać powiązany z daną osobą (np. zawiera nie zawiera imienia i nazwiska a jakoś alias typu: skowronek12@…), to nie jest daną osobową. Tylko jeśli jest odwrotnie wówczas można mówić o dane osobowej.

  11. Anonimowy identyfikator trackingowy. Powiązany z wpisami z baz danych sklepów.

    To PESEL też jest anonimowy…

    • Numeru PESEL nie zmienisz kombinacją klawiszy ctrl-shift-delete, potem enter (czyli usuwając ciasteczka).
      Jedynie warto by zaznaczyć, że anonimowy jest z punktu widzenia niektórych podmiotów, a wedle niektórych słowo pseudonimowy byłoby właściwsze.

  12. Spoko, moja żona dziś zarezerwowała pokój w hotelu na Sylwka i… właśnie wchodząc na swojego FB widzę informację, że “[imię i nazwisko mojej żony] i kilka innych osób odwiedzili [miasto]”. Na pierwszym miejscu w tej informacji pokazany hotel w którym rezerwowała pokój, w kolejnych okienkach inne hotele i na końcu logo booking.com. :) Co prawda na FB wchodzi z tej samej przeglądarki co na inne strony, także booking.com, ale zaskoczyła mnie ta informacja. Nigdy wcześniej to nie miało miejsca. Ja używam osobnej przeglądarki, tylko do FB, aby nie mieć reklam (inaczej w podpowiedziach miałem wszystko, to co przeglądałem. Wracając do booking.com, jakim cudem coś takiego mogło się pojawić? Na FB żona nie ma zalajkowanego profilu booking.com, konta (jeżeli w ogóle jest to możliwe) FB i Booking nie są ze sobą połączone. Jedyna wspólna cecha to ta sama przeglądarka. PS jeżeli inne osoby w tej podpowiedzi na FB odnośnie booking.com też rezerwowały hotele, to łatwo idzie wywnioskować, kto gdzie będzie spędzać Sylwka. ;)

    • Na dużej części stron jest taki mały guziczek “Like!” z Facebooka. No to już wiesz, że on nie służy tylko do lajkowania.

    • Reklama złapała pewnie przez FB Pixel. Natomiast “niedawno odwiedzili” to tylko i wyłącznie udział w wydarzeniu lub oznaczenie w jakiejś firmie, która na FB jest oznaczona jako będąca w tym mieście. ;)

      Jeśli korzystasz z konta Google, polecam odwiedzić https://adssettings.google.com/ – może dowiesz się czegoś o sobie ;)

    • Jeśli korzystasz z androida to wejdź sobie jeszcze w ustawienia google. Tam to się dopiero dzieją cuda. Historia lokalizacji, wyszukiwania głosowego, wyszukiwania w wyszukiwarce, historia wyszukiwania i oglądania youtube, informacje z urządzenia. Wszystko ( a przynajmniej większość) tego co google wie o tobie i gromadzi cholera wie po co.

    • Polecam dodatek Containers do Firefoxa – świetnie się sprawdza do odizolowania zalogowanych kont google, facebooka, M$ i czego się jeszcze używa od normalnego przeglądania. Niestety synchronizacja ustawień pomiędzy urządzeniami na razie kuleje

  13. aluminiowe czapeczki założone?

  14. “Pamiętajcie też, że musicie wyrażać zgód marketingowych wszędzie gdzie tylko jesteście.” chyba Wam negację gdzieś zjadło ;)

  15. Polecam uBlock do blokowania reklam, trackerów a Ghostery będzie idealnym dodatkiem do uBlocka :)

    • +1
      Chociaż trafiają się strony, gdzie trzeba wyłączyć jedno albo drugie (można wyłączać po jednym “trackerze”, ale w uBlocku jest to niewygodne, a w Ghostery po zmianie właściciela było często powolne).
      Oprócz tego wyłączenie 3rd party cookies, a jeśli wierzyć stronie Ghostery “Are we private yet?” sprzed zmiany właściciela, nawet włączony “Do Not Track Me” część odsiewa.
      I nie chodzi o paranoję — reklamy spowalniają + bywają zawirusowane.

  16. Czy taki mechanizm nie jest łamaniem/obejściem nowych regulacji RODO ? Szczegolnie art 6 ust 4? No niby nie bo pan z firmy mówi ze nie przetwarza danych osobowych ale w konsekwencji firma ktora posiada nasz email (czyli dana osobowa) wykorzystuje go niezgodnie z celem. A co z art 17? jak go realizować? Moze by sie niebezpiecznik.pl mógł wgryźć w takie kwestie? RODO coraz bliżej a wątpliwości coraz więcej.

  17. można też skorzystać z:
    – uBlock Origin
    – Privacy Badger

    • Bez tych dwóch dodatków nie wchodzę na żadne strony.
      W borsuku oczywiście część stron przełączona na czerwono aby się nie wpychały ;-)

  18. 1. CookieAutodelete,
    2. uBlock,
    3. Ghostery.
    4. Osobny profil przeglądarki do ogólnego Internetu, osobny do ważnych rzeczy, osobny do Facebooka. Alternatywa – przeglądarka w samoresetującym się sandboksie.

  19. procz ublocka i ghostery to jeszcze “no coin”-a albo block coin miner

  20. Dostaję ówniany mail => pomagam GMailowi zgłaszając jako spam. I co na to autorzy algorytmu marketingowego?

    • wyciągają odpowiednia ilość golda z kieszeni żeby Google przymkneło oko.

  21. Halo, ale przecież w takim mechanizmie “anonimowy identyfikator” to też dana osobowa.
    A teraz problem sprowadza się do tego, jak aktywny będzie przyszły PUODO. Niektórzy twierdzą, że bardzo, skoro jego kary będą dochodem budżetu państwa. Zobaczymy.
    PS ucieczka na wyspy Hula-Gula niewiele pomoże. A nawet jeśli, to za kilka lat branża będzie płakać, że połowa internautów korzysta z trybu incognito – tak jak teraz płaczą na adblocki, bidulki…

    • Rzeczywiście w takim układzie taki identyfikator jest daną osobową, ale tylko dla firmy, która może go połączyć z innymi danymi, czyli dla przykładowego Media Markt.

  22. ja się dziwię, że a propos RODO UE nie naciska na przeglądarki, aby takie anonimizery nie były domyślnie włączone w przeglądarkach :P

  23. “administrator za pośrednictwem swoich serwerów wysyła do użytkownika maila z treścią handlową, gdyż to administrator jest beneficjentem zgody marketingowej” Trochę to jednak nadużycie, bo jeśli wyrażę zgodę na otrzymywanie informacji handlowej od np. Media Marktu, to informacja powinna dotyczyć oferty Media Marktu, a nie towarów, którymi handlują wszyscy krewni i znajomi królika.

    • Akurat poniżej przykład z mojej firmy zatwierdzony przez prawników oraz firmę zewnętrzną. Jeżeli wyrazisz zgodę to można te dane udostępniać do innych podmiotów prawnych…

      “Wyrażam zgodę, aby moje dane osobowe (tj. dane dotyczące mojego konta użytkownika i dane dotyczące używania sprzętu ?????) były w wyżej wskazanych celach gromadzone, analizowane i oceniane przez ?????, a następnie udostępniane w powyższych celach spółce ????? Sp. z o.o. oraz ????? do czasu ewentualnego wycofania mojej zgody. Swoją zgodę mogę wycofać w dowolnym czasie, na przykład poprzez zmianę ustawień tej aplikacji, w sekcji Ustawienia. Moja zgoda jest dobrowolna. Na zasadach określonych w przepisach, przysługuje mi prawo do dostępu do moich danych osobowych i ich poprawiania.”

  24. Ale przecież dzięki najjaśniejszej unii na każdej stronie mamy ostrzeżenia o cookie więc powinniśmy wiedzieć że takie wałki są możliwe :))) dziękuję za to że wszystkie witryny mi o tym przypominają:)))

    • no ale co z tego, że przypominają? wchodzisz na jakąkolwiek stronę i już cię ciasteczka mają

  25. Tylko Polacy mogli wymyślić taki “mechanizm”. Mam nadzieje ze wezmą się za wszelkiej maści złodziei danych człowieka. Na chwilę obecną handluje się wszystkimi bazami danych w zasranej polsce.

  26. @piotr możecie uaktualnić ten wywiad właśnie o kwestie RODO ?

  27. Od maja 2018 taka firma zapłaci potężną karę nawet do 20 mln EUR. Administrator danych nie będzie mógł przekazywać bez zgody użytkownika danych dalej, a na pewno nie będzie mogła z nich korzystać zewnętrzna firma do profilowania – jak w przypadku opisanym w artykule powyżej. Co ciekawe, wykorzystywanie danych do profilowania będzie mogło odbywać się tylko i wyłącznie w bazach danych administratora danych, który będzie musiał umożliwić użytkownikowi możliwość w każdym czasie usunąć swoje dane, tj. skorzystać z prawa do bycia zapomnianym. W mojej ocenie już dzisiaj można byłoby taką firmę pociągnąć do odpowiedzialności..

  28. A czy sklepy nie robią tak, że podczas wpisywania maila, i porzucania koszyka, nie zapisują tego koszyka z mailem i informują, że zamówienie nie zostało złożone? Bez żadnej zewnętrznej firmy? Czy w takim wypadku użytkownik nie musiałby wcześniej zaakceptować (przed złożeniem zamówienia) zgody na przetwarzanie danych w celu realizacji zamówienia?

  29. Na firmową skrzynkę dziewczyny przyszedł jakiś spam reklamowy. W treści wiadomości był obrazek mety/parku maratonu w Walencji, który biegliśmy miesiąc temu. Z jakimś tam hasłem firmowo-propagandowym. Tu mnie trochę zaskoczyli ;)

  30. Normalna praktyka, w sumie się nie dziwię. Może niezbyt etyczne, ale z drugiej strony wyrażamy zgodę.

  31. Czyli jednak idzie z serwera conversionLabs?

    Received: from smtp2-340.conversionlabs.org.pl (smtp2-340.conversionlabs.org.pl [185.70.39.173])

  32. Gdyby komuś rzeczywiście zależało na ograniczeniu niczym nieskrępowanego obecnie handlu danymi osobowymi, to ustawowo zakazane na poziomie prawa unijnego byłoby ich udostępnianie innym podmiotom z wyjątkiem sytuacji związanych z ratowania zdrowia i życia.
    Jak ktoś zaznaczy w danym miejscu zgodę marketingową, to powinien mieć pewność, że tylko w tym miejscu gdzie ją wyraził będzie obowiązywała. Tak niestety nie jest i nie będzie, bo prawo o ochronie danych osobowych jest dziurawe jak durszlak. Zwiększenie kar w RODO spowoduje tylko, że na rynku handlu danymi osobowymi pozostaną tylko bandyci i duże korporacje z mocnym zapleczem prawnym (czytaj łapówkarskim, bo jak wiadomo prawnik to nic innego jak łapówka w cywilizacji zachodniej – płacisz prawnikowi i załatwia dzięki furtom prawnym, że możesz robić co chcesz).
    Niestety nikomu nie zależy na ograniczeniu handlu danymi, bo to jest interes równie opłacalny, jak handel narkotykami, a ryzyko “biznesowe” jest znacznie mniejsze, bo dzieje się to w majestacie prawa, które już na etapie prac legislacyjnych miało przygotowane mówiąc po naszemu backdoory.
    Taka jest smutna rzeczywistość, w której żyjemy.

  33. Windows:
    (Firefox+ umatrix + cookie autodelete) + sandboxie

    Linux
    (Firefox+ umatrix + cookie autodelete) + firejail

    i tyle w temacie

  34. Nie jestem gwiazdą rocka. Nie jestem terrorystą. Nie jestem bandytą czy osobą publiczną. Jestem sobie Pan co prywatność stawia ponad wszystko. W życiu nic nie kupię w sklepie, który mnie szpieguje. Choć tyle mogę. Czekam na moment kiedy z tego powodu sprawę w sądzie założę.

  35. Oczywiście fakt, że dane te pochodzą z baz w których użytkownik wyraził zgodę na spam, są kłamstwem. Dostałem taki spam od Tmobile, choć w koszyku nic nie miałem, a na mocy umowy z tmobile płacę co miesiąc dodatkowo za nie wyrażenie zgody na spam.
    Ktoś zainteresowany pozwem zbiorowym ze spamerami?

  36. Ustawienia przeglądarki > Prywatność, ciastka itp. > Blokuj ciastka trzecich stron

    Po problemie. Facebooki itp. już nie mogą śledzić zachowań użytkowników na innych witrynach.

  37. Dzięki za szczegóły. Już wycięte na fw

  38. Antytrakery też szpiegują…

    Ja tam używam własnej wersji ff.. bez flesza, z wyłączoną obsługą java, bez akceptacji ciasteczek, z tempem /tmp (z odpowiednimi uprawnieniami – nie powiem gdzie mam /tmp), ze zmieniającym się id co strona/serwiw/ip… lub jak ustawię na wybrane serwisy zawsze ten sam :P… efekt = to ja kontroluję wypływ… co ciekawe na stronie niebezpiecznika widzę podpinkę: fejsboka, także konekta, w sumie 10 podsystemów śledzenia googla… i kilka innych

  39. Niebezpieczniku! Dla mnie też ten mechanizm wydaje się być co najmniej nadużyciem ustawy o ochronie danych osobowych. Dlaczego zrobiliście wywiad z tą firmą, a jednocześnie nie poprosiliście o wyrażenie opinii żadnego prawnika?!
    IMO powinniście go uzupełnić o opinię prawnika. Teraz wpis jest nierzetelny i sugeruje że cały proceder jest całkiem, całkiem ok.

  40. Aha, wrzucić do koszyka Opla Grandlanda, potem koszyk porzucić i czekać na rabat “specjalnie dla Ciebie” przeglądając reklamy MM. No super, szkoda że w majaczeniach tego gościa od conversionLabs, który znalazł niezły piniądz na inwigilacji.

  41. Najbardziej unikalny i wiarygodny nagłówek w tej wiadomości to podpis DKIM:
    “DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; d=conversionlabs.org.pl;
    s=conversionlabs…”

    Jeżeli klucz publiczny jest udostępniony przez strefę DNS, a serwer podpisuje maile kluczem prywatnym, to weryfikując podpis mamy prawie 100% pewności, skąd się ten mail wziął.
    Te “prawie 100% ” gwarantują algorytmy RSA lub DSA stosowane w kluczach DKIM, certyfikatach SSL czy kluczach GPG.

    Żeby wyłapać maile na podstawie klucza DKIM trzeba napisać MACRO do Spamassasina,zwierające ze dwa, trzy regexy, i gotowe.

    Pozdro

  42. W praktyce istnieje już przynajmniej kilka podobnych narzędzi. Np. Revhunter czy BouncePilot.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: