Strona główna > Blog > Prawo > Jak mogą Cię oszukać na plikach cookies?

Jak mogą Cię oszukać na plikach cookies?

08 listopada 2018

Mało kto z nas zdaje sobie sprawę, że tak powszechnie akceptowane przez nas na stronach przy pomocy jednego kliknięcia pliki cookies mogą być źródłem oszustw. Firmy za nie odpowiedzialne ponoszą konsekwencje za tak zwane wypychanie ciasteczek — chcesz wiedzieć, co to jest? Zapraszam do lektury.

Na temacie najlepiej zna się Agata Matczak — ona zajmuje się marketingiem afiliacyjnym i to jej artykuł zainspirował mnie do poruszenia tematu tutaj na blogu. A że znamy się od laaaaaat i śpiewam na organizowanych przez nią karaoke, to dała się namówić na napisanie o tym tekstu dla mnie. Zresztą historię mojej prośby też tam umieściła, zapraszam do lektury 🙂

(Autorem obrazka tytułowego z Ciasteczkowym Potworem jest Casey Fleser, obrazek pochodzi stąd i jest dostępny na następującej licencji. A powyższego obrazka nie muszę podpisywać.)

Kiedy pod koniec września dotarły do mnie pierwsze sygnały o polskiej „aferze ciasteczkowej”, nie bardzo rozumiałam, o co chodzi. Niby coś tam o nadziewaniu cookies słyszałam, ale raczej w ramach wzmianki przy okazji innego tematu niż jak to się właściwie odbywa w praktyce. Moja natura jest jednak taka, że raczej preferuję rozumieć „o czym ktoś do mnie rozmawia”, więc chcąc nie chcąc zagadnienie cookie stuffing musiałam zgłębić. Przy okazji tego procesu zgłębiania postanowiłam o wspomnianej tematyce popełnić tekst na firmowego bloga. I tak się właśnie zaczęło… rozdzwonił się telefon, a właściwie messenger i w okienku „Tomek Palak” pojawiła się nowa wiadomość. Żadnego „Hej co słychać?”, Tomek nie ma czasu na takie kurtuazje, zamiast tego czytam więc w piątkowy wieczór pytanie „Kto pisał ten tekst o cookie stuffing?”. I przysięgam, że zamarłam, bo mówię sobie „No ładnie. To na bank coś ********. Było jeszcze raz przeczytać przed wrzuceniem”. Okazało się, że problem mam owszem, ale z czasem wolnym, bo wiadomość dotyczyła jednak propozycji napisania gościnnego tekstu na bloga, którego macie przyjemność właśnie czytać. Z Tomkiem znamy się jeszcze z licealnych czasów, a od dwóch lat jego zawodowa autostrada i moja leśna dróżka czasami się przecinają. Trochę więc z sentymentu, a trochę ze strachu (bo w końcu jest prawnikiem!) dołożę wszelkich starań, aby wykorzystać moje gościnne pięć minut i zaprezentować wam temat „nadziewania ciasteczek” najlepiej jak potrafię.

Po tym przydługim (acz niezbędnym) wstępie czas przejść do tematu właściwego. W polskich wynikach wyszukiwania nie znajdziemy zbyt wiele odniesień do cookie stuffingu. Możecie się domyśleć, że próby znalezienia czegoś na ten temat za pomocą polskich zwrotów takich jak „wypychanie ciasteczek” czy „nadziewanie cookies” również nie dostarczyły mi zbyt wiele wartościowego materiału…

Większość źródeł, z których korzystałam przy tworzeniu tego tekstu stanowią więc te anglojęzyczne. Ale do brzegu. Cookie Stuffing (inaczej cookie dropping), a więc po polsku „nadziewanie ciasteczek” to nieetyczna technika marketingowa wykorzystująca pliki cookie (potocznie zwane „ciasteczkami”), czyli niewielkie części kodu, który pozostawiają po sobie w naszych przeglądarkach strony, na które wchodzimy. Używane w jawny sposób i zgodnie z przyjętymi zasadami „ciasteczka” są zwykle pożyteczne zarówno dla użytkowników (bo zapamiętują nasze hasła i preferencje), jak i też właścicieli serwisów (bo dzięki nim mogą lepiej poznać nas i nasze najskrytsze pragnienia). Takie etycznie poprawne umieszczanie plików cookies na naszych urządzeniach odbywa się, kiedy zostaniemy poinformowani, że dana strona ich używa i kiedy zostaną one zapisane w naszych przeglądarkach w efekcie wykonanej przez nas akcji (na przykład kliknięcie w dany baner, wyrażenie zgody itp.).

Natomiast nadużycie, jakim jest cookie stuffing, może przybrać różne formy. Te najpowszechniejsze to:

-„upuszczanie ciasteczek” do urządzenia użytkownika już w momencie wejścia na stronę lub podczas przeglądania jej zawartości (a nie po wykonaniu przez użytkownika akcji),

-„nadziewanie ciasteczek” zapisywanych po wykonaniu przez użytkownika właściwej akcji dodatkowymi plikami cookies.

W pierwszym scenariuszu zapisanie ciasteczek odbywa się bez naszej wiedzy, niezależnie od tego, w jakim celu weszliśmy na stronę i czy jesteśmy zainteresowani daną ofertą. Na przykład, jeśli poszukujemy informacji o tabletkach do zmywarki, ale okazuje się, że dany serwis poświęcony jest kapsułkom do prania. Opuszczamy więc witrynę, ale jej właściciel zdążył zostawić w naszej przeglądarce lub urządzeniu swoje pliki cookie. Może to robić na wiele sposobów: poprzez linki ukryte w mikroskopijnych obrazkach (o rozdzielczości 1 x 1 px), banerkach reklamowych, pasku przeglądarki czy za pomocą niewidocznej ramki iframe.

Jeśli natomiast zajdzie drugi scenariusz wiemy tylko o jednym z ciasteczek, a inne dostajemy „gratis”. Tak więc w załóżmy, że chcieliśmy kupić tabletki do zmywarki, ale używamy tylko tych firmy Somat. Klikamy więc w znajdującą się na stronie reklamę Somatu i zgadzamy na umieszczenie w naszej przeglądarce właśnie plików cookie odnoszących się do tego produktu. Jednak nieuczciwy właściciel serwisu o tabletkach zmywających dorzucił nam w pakiecie pliki cookies Zinisha, Fuiry i wszystkich innych producentów tabletek.

Cookie stuffing z pewnością jest więc nieetyczny z punktu widzenia „nadziewanych” nim użytkowników, ale chciałabym przedstawić wam go również z biznesowego punktu widzenia. Pliki cookies używane są powszechnie w e-commerce (handlu elektronicznym), głównie, aby gromadzić informację o użytkownikach i śledzić ich zachowania. Oczywiście głównym celem takich działań jest generowanie jak najwyższych sprzedaży. Od jakiegoś czasu ścieżki zakupowe konsumentów ulegają stałemu wydłużaniu się — rzadko kupujemy coś podczas pierwszej wizyty w danym sklepie. Oznacza to, że przed zakupem często korzystamy z porównywarek, stron z opiniami, blogów itp.. A jak myślicie, w jaki sposób takie porównywarki zarabiają? Sprzedawca umieszcza w danym serwisie swój materiał reklamowy, który przekierowuje potencjalnego klienta do sklepu. Jeśli klient kliknął w taki link partnerski, a następnie dokonał zakupu — sklep wypłaca właścicielowi porównywarki (lub innej strony, na której materiał został zamieszczony) prowizje. Takie działania marketingowe polegające na przekazywaniu zainteresowanych zakupem osób do sprzedawcy oferującego dany produkt nazywa się afiliacyjnymi (oczywiście w dużym uproszczeniu). Aby serwis, który pomógł sprzedawcy zdobyć klienta, otrzymał należną mu prowizję, właściciel sklepu musi być świadomy, że klienta „dowiozła” do niego określona witryna. A tym „dowodem” jest właśnie zapisany w naszej przeglądarce plik cookie. Jeśli jednak „nielegalnie” umieszczony w naszym urządzeniu pliki cookie zostawi fałszywy „dowód”, wynagrodzenie może trafić do niewłaściwej osoby. Właściciele serwisów używających cookie stuffing mogą więc okradać swoich kolegów po fachu z ich słusznie zarobionej prowizji. Przedstawimy to na krótkim przykładzie.

Przykład 1

Wstajesz rano i przy porannej kawie żona postanawia krótko podsumować Ci stan waszych zapasów. Okazuje się, że brakuje tabletek do zmywarki. Wracając do domu z pracy przypominasz sobie o tym, a ponieważ lubisz być bohaterem w swoim domu, wchodzisz na porównywarkę tabletek zmywających, szukając najkorzystniejszej oferty. Jak dowiadujesz się w domu, żona od początku mówiła o kapsułkach do prania, a nie tabletkach do zmywarki (chociaż jesteś pewien, że było inaczej). Wchodzisz więc na porównywarkę kapsułek do prania, znajdujesz super ofertę w sklepie A i dokonujesz zakupu. W tym wypadku sklep A wygenerował sprzedaż dzięki porównywarce kapsułek do prania, z której skorzystałeś – w innym wypadku mógłbyś nie dowiedzieć się o super ofercie. Właścicielowi serwisu porównującego kapsułki należy się więc prowizja, jednak porównywarka tabletek do zmywarki, na której byłeś wcześniej „nadziała” Cię swoimi ciasteczkami dotyczącymi sklepu A. W momencie wejścia na stronę tego właśnie sprzedawcy fałszywe pliki cookie nadpisały te prawdziwe, przez co sklep A otrzyma informację, że trafiłeś do niego nie z porównywarki kapsułek, lecz tabletek.

Inny przypadek dotyczy sytuacji, w której zakupy robimy bezpośrednio w witrynie sklepu, jednak nieuczciwie umieszczony na naszym urządzeniu plik cookie, twierdzi, że to jego właściciel nas do niej zaprowadził. Weźmy ten sam przykład.

Przykład 2

Wstajesz rano i przy porannej kawie żona postanawia krótko podsumować Ci stan waszych zapasów. Okazuje się, że brakuje tabletek do zmywarki. Wracając do domu z pracy przypominasz sobie o tym i wchodzisz na porównywarkę tabletek do zmywarki, szukając najkorzystniejszej oferty. Jak dowiadujesz się w domu, żona od początku mówiła o kapsułkach do prania, a nie tabletkach do zmywarki. Już masz szukać porównywarki kapsułek do prania, ale w radiu słyszysz o fenomenalnej ofercie sklepu B dotyczącej właśnie tego produktu, wchodzisz więc bezpośrednio na stronę sklepu B i kupujesz. W tym wypadku sprzedaż dokonała się w efekcie działań reklamowych sklepu B, nie powinien on więc wypłacać dodatkowej prowizji żadnym innym serwisom. Ale ponieważ odwiedziłeś wcześniej porównywarkę tabletek do zmywarki, która „nielegalnie” zostawiła w Twoim urządzeniu pliki cookies sklepu B, dostanie on fałszywą informację, że na stronę sprzedawcy trafiłeś z owej porównywarki. W tym wypadku właściciel nielegalnych ciasteczek naciągnął sklep B na niesłuszną prowizję, obniżając jego zysk ze sprzedaży.

Jak się okazuje, takie okradanie innych serwisów lub sprzedawców może przebiegać na całkiem sporą skalę… w sierpniu 2008 r. eBay złożył pozew cywilny przeciwko Shownowi Hoganowi oraz braciom Dunning — Brianowi i Toddowi, oskarżając ich o oszustwa związane z cookie stuffing. Pozwani Panowie mieli naciągnąć popularną platformę i jej partnerów w sumie na ponad 28 milionów dolarów. Sprawę przejęło jednak FBI. W maju 2014 roku Hogan został skazany na 5 miesięcy pozbawienia wolności, 3 lata nadzoru kuratora i 25 000 dolarów grzywny, a Brian Dunning na 15 miesięcy więzienia, 3 lata kuratora i grzywnę w wysokości …100 dolarów.

Na nasze, polskie, podwórko nadziewanie ciasteczek dotarło znacznie później, a przynajmniej dopiero niedawno zrobiło się o nim stosunkowo głośno. 4finance, grupa kapitałowa, będąca właścicielem marek takich jak Vivus i Zaplo kilka miesięcy temu zauważyła, że generuje znacznie większe koszty przy współpracy z jednym ze swoich partnerów – siecią afiliacyjną Affiliate44. Po zbadaniu sprawy okazało się, że kilka porównywarek finansowych (pozyczkaportal.pl, loando.pl oraz ratka.pl) współpracujących z Affiliate44 stosowało właśnie omówione powyżej „cookie stuffing”. Sprawie powagi dodaje fakt, że serwisy te są blisko powiązane z samą siecią (te same osoby w zarządach spółek lub wspólny kapitał), która tłumaczy, że oszustwa dokonał „jeden z zespołów pracujących przy stronach internetowych”. Aferze przygląda się cała branża pożyczkowa, a 18 października w siedzibie PZIP (Polski Związek Instytucji Pożyczkowych) odbyło się spotkanie dotyczące tego „incydentu”. Jaki będzie finał całej sprawy na ten moment nie wiadomo.

P.S. Przy okazji pozdrowienia dla wszystkich fanów Tomka Palaka, prawa i nie tylko 

Dziękuję w Waszym imieniu za pozdrowienia i dodam tylko, że w mojej ocenie stosowanie cookie stuffingu również w Polsce podpadać będzie pod odpowiedzialność. Mam tu na myśli fakt, że takie działania stanowią nieuczciwą konkurencję między przedsiębiorcami w rozumieniu ustawy o jej zwalczaniu i można dostać za to karę. Zobaczymy, może opisany powyżej przez Agatę przypadek będzie w Polsce pod tym względem precedensem, będziemy to śledzić.