«Киберлайфхак»: бесплатная еда с помощью GDPR Материал редакции

Как уязвимость в законодательстве, промокоды и плохо спроектированные базы данных могут позволить не платить за еду в Европе.

В закладки
Аудио

13 декабря технологический блогер Vas3k (Василий Зубарев) поделился в своём Telegram-канале размышлениями о том, как можно неоднократно использовать любые промоакции и скидки с помощью GDPR и ошибок в базах данных в компаниях.

Для этого достаточно после первого заказа сделать запрос на удаление пользовательских данных из базы сервиса по заказу еды — отказаться компания не имеет права, иначе будет выплачивать крупный штраф. Но это работает только там, где ИТ-специалисты не хранят адреса отдельно от других персональных данных пользователей.

Vas3k

Миша @tauspace вчера в баре рассказал топовый киберлайфхак. Для него нужны две вещи — скидосики и GDPR. Сразу поясню: скидосики в Германии — часть культуры. Нет скидосика, пробного периода, подарка — немец никогда не купит, наверное это для туристов. Скидосики есть на всё.

Что общего у тридцатицентового пива, SIM-карты и скоростного поезда в Амстердам? Всё это можно купить за полцены, если хорошо поискать. Больше ищешь — больше скидосик, вплоть до бесплатного. Хочешь прямо сейчас — наверное, ты занятой бизнесмен, плати полную цену. Социализм. Приезжие студенты занимаются этим как спортом. Теперь сам лайфхак.

В Берлине есть сервисы доставки продуктов по подписке. Раз в неделю тебе к двери приносят ящик со всякими макарошками, брокколи и рецептами внутри. Кстати, неплохими. Новых пользователей завлекают акциями типа «первая коробка в подарок». Больше одного раза зарегаться не прокатит — адрес квартиры остаётся в базе.

А теперь вспоминаем GDPR. Заказываем первую бесплатную коробку, шлём запрос на удаление данных из БД, заказываем снова. SCHМЕКАЛÖЧКА. Не прислали бесплатной еды — прямо нарушили GDPR, будьте добры занести пару миллионов евро штрафа регулятору. Прислали — поздравляю, вы великолепны!

На самом деле Зубарев признает, что это в большей степени шутка — у компаний есть технические решения, чтобы избежать «безлимитных заказов», но их нужно учитывать во время проектирования ИТ-системы.

Так. Похоже не все уловили, что предыдущий пост — выдуманная шутка из бара и никто не собирался проверять это всерьез. Технические решения тоже есть — надо хранить адреса в другой таблице и при GDPR-запросе рвать связь с пользователем (в чате даже прозвучало забытое слово «биекция»). Но я удивлён насколько мало айтишников всё еще не думает об этом, проектируя свои системы. GDPR-то всех касается, даже если вы не в Европе.

{ "author_name": "Евгений Делюкин", "author_type": "editor", "tags": ["\u043b\u0430\u0439\u0444\u0445\u0430\u043a","gdpr"], "comments": 26, "likes": 19, "favorites": 27, "is_advertisement": false, "subsite_label": "legal", "id": 53130, "is_wide": false, "is_ugc": false, "date": "Thu, 13 Dec 2018 15:59:59 +0300", "is_special": false }
0
{ "id": 53130, "author_id": 124903, "diff_limit": 1000, "urls": {"diff":"\/comments\/53130\/get","add":"\/comments\/53130\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/53130"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199120, "last_count_and_date": null }
26 комментариев
Популярные
По порядку
Написать комментарий...
19

Мда, вот так глупая пьяная шутка попадает на VC. Чо началось-то!

Ответить
0

Охренеть, Вася — мой новый вилсаком!

Ответить
2

Это не лайфхак, а рассуждения на тему.

Ответить
1

Сразу было понятно, что GDPR это заплыв против течения, попытка остановить прогресс... очередные социалистические уступки...

Ответить
0

Это ещё начало. Дальше веселее будет.

Ответить
0

Сгниёт ЕС?

Ответить
0

Понятия не имею по поводу ЕС. GDPR не будет работать как хотят. Эта надстройка какая-то мертворожденная. Уже высказывал свое мнение, если интересно, поищите по комментам.

Ответить
1

А нарушается GDPR если хранить "соленый" хэш, сформированный из адреса доставки, для защиты от такой e-гопоты?

Ответить
0

Даже если нельзя. Как доказать, что это хеши адресов? Если подсолить - никак вообще, кроме просмотра исходников. Не думаю что до этого дойдет.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
1

черт возьми. руки чешутся это проверить

Ответить
0

А что, по GDPR нельзя адрес сохранить без привязки к пользователю? Как "адрес, участвовавший в акции".

Ответить
0

Ой. И без этой фигни с горе-маркетологами можно почти почти бесплатно юзать букинг в некоторых случаях, но геморроя конечно слишком много.

Ответить
1

А как у нас пару лет все школьники почти бесплатно ездили на такси еще хорошо вспомнить. Думаю тогда агрегаторы хорошо подняли отчетность по количеству пользователей и поездок.

Ответить
0

Вообще, эта шутка напоминает мне те мысли, что мне в голову после переезда приходили. Например:
1. Карты и финансовые документы в Германии спокойно отправляют по почте. Можно спокойно изъять из почтового ящика письмо, даже не обладая ключами, лишь бы рука была поменьше да со стороны створки пролезала.
2. Есть SEPA - что-то вроде разрешения списывать деньги с твоего счета напрямую. Ничто не мешает "подделать" эту SEPA, вставив данные карты и/или счета другого человека.

Короче, многие вещи с точки зрения безопасности выглядят дико. Ну, мол, как так, как народ так беспечно к этому относится

Ответить
1

Это нормально :)

Какому-нибудь дикарю с берегов Амазонки тот же супермаркет покажется незащищенным - тотемного(или что там у них на Амазонке) столба нет, а охраняющий тамошнее богатство воин не вооружен(копьем) и слаб духом/телом.

Ответить
0

Можно сохранять адрес без привязки к пользователю.

Ответить
0

В Германии с этим чуть сложнее. Здесь нет номеров квартир — пишется номер дома и фамилия. Фамилия — персональное данное. Вот и выкручивайся. Но вариантов обойти всё равно целая гора, просто я впервые задумался о таком сценарии.

Ответить
3

Хеш от такого адреса сохранять и все тут.
Привязки никакой нет, т.к. обратно его не преобразуешь, а проверить была ли доставка можно очень просто.

Ответить
0

... если не добавить пробел между "ул" и названием улицы

Ответить
1

нормализованную строку адреса хешировать конечно-же

Ответить
0

До этого они дойдут не сразу) Потом можно немного ошибочно писать названия улиц - человек будет распознавать и доставлять, а хеш будет другой. Хотя можно ввести проверку и исправление адреса до этапа доставки. Но как правильно написали выше - как суду и юристам доказать, что у тебя хранятся ХЕШИ, а не сам адрес? :)

Ответить
0

Тогда уж GPS-координаты и высоту места сделки.

Ответить
0

Льва Толстого 16 или Ленинградский проспект 39c79, например.

Ответить
1

Улица Пушкина, дом Колотушкина

Ответить
0

А что если другой человек купил дом по этому адресу? Получается пользователь то другой? Или я неправильно понял суть алгоритма защиты?

Ответить

Комментарий удален

Комментарий удален

{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovx", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "disable": true, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cgxmr", "p2": "gnwc" } } } ] { "page_type": "default" }