«Киберлайфхак»: бесплатная еда с помощью GDPR

Как уязвимость в законодательстве, промокоды и плохо спроектированные базы данных могут позволить не платить за еду в Европе.

13 декабря технологический блогер Vas3k (Василий Зубарев) поделился в своём Telegram-канале размышлениями о том, как можно неоднократно использовать любые промоакции и скидки с помощью GDPR и ошибок в базах данных в компаниях.

Для этого достаточно после первого заказа сделать запрос на удаление пользовательских данных из базы сервиса по заказу еды — отказаться компания не имеет права, иначе будет выплачивать крупный штраф. Но это работает только там, где ИТ-специалисты не хранят адреса отдельно от других персональных данных пользователей.

Vas3k
Vas3k

Миша @tauspace вчера в баре рассказал топовый киберлайфхак. Для него нужны две вещи — скидосики и GDPR. Сразу поясню: скидосики в Германии — часть культуры. Нет скидосика, пробного периода, подарка — немец никогда не купит, наверное это для туристов. Скидосики есть на всё.

Что общего у тридцатицентового пива, SIM-карты и скоростного поезда в Амстердам? Всё это можно купить за полцены, если хорошо поискать. Больше ищешь — больше скидосик, вплоть до бесплатного. Хочешь прямо сейчас — наверное, ты занятой бизнесмен, плати полную цену. Социализм. Приезжие студенты занимаются этим как спортом. Теперь сам лайфхак.

В Берлине есть сервисы доставки продуктов по подписке. Раз в неделю тебе к двери приносят ящик со всякими макарошками, брокколи и рецептами внутри. Кстати, неплохими. Новых пользователей завлекают акциями типа «первая коробка в подарок». Больше одного раза зарегаться не прокатит — адрес квартиры остаётся в базе.

А теперь вспоминаем GDPR. Заказываем первую бесплатную коробку, шлём запрос на удаление данных из БД, заказываем снова. SCHМЕКАЛÖЧКА. Не прислали бесплатной еды — прямо нарушили GDPR, будьте добры занести пару миллионов евро штрафа регулятору. Прислали — поздравляю, вы великолепны!

На самом деле Зубарев признает, что это в большей степени шутка — у компаний есть технические решения, чтобы избежать «безлимитных заказов», но их нужно учитывать во время проектирования ИТ-системы.

Так. Похоже не все уловили, что предыдущий пост — выдуманная шутка из бара и никто не собирался проверять это всерьез. Технические решения тоже есть — надо хранить адреса в другой таблице и при GDPR-запросе рвать связь с пользователем (в чате даже прозвучало забытое слово «биекция»). Но я удивлён насколько мало айтишников всё еще не думает об этом, проектируя свои системы. GDPR-то всех касается, даже если вы не в Европе.

1313
26 комментариев

Мда, вот так глупая пьяная шутка попадает на VC. Чо началось-то!

19

Охренеть, Вася — мой новый вилсаком!

Это не лайфхак, а рассуждения на тему.

2

Сразу было понятно, что GDPR это заплыв против течения, попытка остановить прогресс... очередные социалистические уступки...

2

Это ещё начало. Дальше веселее будет.

Комментарий недоступен

1

Даже если нельзя. Как доказать, что это хеши адресов? Если подсолить - никак вообще, кроме просмотра исходников. Не думаю что до этого дойдет.