Zaloguj się do usług
bezpieczeństwa
17 października 2019
Dane osobowe – złoto XXI wieku

[uaktualnienie] Na końcu dokumentu znajdziecie listę nowych domen, używanych w opisywanych poniżej aktywnościach.

Zastanawialiście się kiedyś, skąd telemarketerzy różnych dziwnych firm dysponują Waszymi danymi? Dlaczego dzwonią na Wasze prywatne numery telefonów, wysyłają Wam maile z niepotrzebnymi informacji, a pytani o to, skąd mają Wasze dane, wymieniają nazwę istniejącej firmy? Może dlatego, że kiedyś połaszczyliście się na darmowe „Bony do [tu wstaw nazwę sklepu]”…

Promocja nie od Rossmanna

Początkowo chcieliśmy tę historię opisać jako tradycyjne ostrzeżenie przed spamową kampanią przestępców, ale po analizie okazało się, że nie możemy tego zrobić. Dlaczego? Ano dlatego, że wszystko, co opiszemy poniżej w świetle prawa jest legalne. Wszystko zaczęło się od wiadomości e-mail, w której kupony do sieci Rossmann zaproponowano... naszemu CERTowi. To na adres cert.opl@orange.com przyszła bowiem wiadomość, wyglądająca w treści tak, jak widzicie poniżej:

Nadawcą maila był adres smtp2@eromail.pl, w domenie widniejącej na szeregu czarnych list antyspamowych. Jak można się było spodziewać, właściciel domeny, firma Grupa PROMOMEDIA Łukasz Rubacki, nie ma podpisanej umowy z firmą Rossmann na wysyłkę kampanii reklamowych.

Po kliknięciu we wskazane miejsce następowało przekierowanie na finalną witrynę hxxps://rossm.gift-cards.co.pl/. Strona nie zawierała w momencie analizy złośliwego kodu, a to dlatego, że nie infekcja malwarem była celem jej autora. Otóż po wybraniu naszej płci i wieku dowiadywaliśmy się (cóż za zaskoczenie!), że zakwalifikowaliśmy się do nagrody, a ostatnim etapem przed jej uzyskaniem jest wpisanie naszego imienia i adresu e-mail. Oczywiście w treści nie ma mowy o zwycięstwie, a jedynie o tym, że... mamy szansę wygrać kupon.

Co bardziej ciekawscy, przyjrzawszy się dokładnie treści witryny, znajdowali na dole bardzo ciekawe informacje:

  • O tym, że firma Rossmann nie sponsoruje ani nie jest w żaden sposób powiązana z serwisem,
  • O administratorze danych, którym ma być firma M-Line sp. z o.o. o nr KRS 0000463190
  • No i na koniec, jeśli komuś chciał się kliknąć we wszystkie „więcej”, rozsiane szeroko po całym dole witryny, musimy odklikać osiem (!) zgód marketingowych na przetwarzanie i udostępnianie naszych danych oraz ich automatyczne profilowanie, no i oczywiście na otrzymywanie informacji marketingowych

A w prawym górnym rogu, zgodnie z najlepszymi zasadami manipulacji (reguła niedostępności Cialdiniego) wielki zegar odmierza czas, po którym stracimy naszą wyjątkową okazję!

Ciekawostka – przez pierwszą +/- godzinę po otrzymaniu przez nas maila link z niego przekierowywał na stronę z anonsami towarzyskimi, opatrzoną zdjęciami o wulgarnej treści seksualnej.

Wróćmy do administratora danych osobowych. Firma M-Line sp. z o.o. istnieje. Wśród kilkudziesięciu kodów PKD, dotyczących jej działalności, znajdziemy sporą liczbę związanych z budownictwem, ale też z turystyką, ochroną, detektywistyką, telekomunikacją, ubezpieczeniami, funduszami emerytalnymi, sprzątaniem, PR, HR i – tu najbardziej nas interesująca – pośrednictwa w sprzedaży miejsca na cele reklamowe. Brzmi jak ogólnoświatowa korporacja, z siedzibą w szklanym biurowcu, a nie w domku jednorodzinnym w Kątach Wrocławskich.

Wystarczy szybkie wyszukiwanie w Google, by znaleźć opinie na temat opisywanej firmy, niemal w stu procentach opisujące fakt, iż w jej posiadaniu znalazły się dane osobowe oburzonych opiniujących. Czy wbrew ich woli? Czy są nadużywane? Obawiamy się, że odpowiedź na oba pytania może brzmieć: „nie”.

Prawa autorskie do... czyjegoś logo?

Jakim cudem trafiają w ogóle do nas spamowe wiadomości? Skąd ich nadawcy mają nasze adresy? Odpowiedź wcale nie jest trudna – z internetu. O ile w ostatnich czasach coraz częściej ostrzega się, by nie rozsiewać informacji o nas na lewo i prawo, to te, które już znalazły się w sieci, niestety tam zostaną. Niech pierwszy rzuci kamieniem ten, kto nigdy nie wpisał gdzieś swojego adresu e-mail. A potem to już tylko rola jednego z niezliczonych crawlerów, przeszukujących sieć pod kątem takich właśnie znalezisk. W pełni legalnie...

Wracając do opisywanego przypadku, wątpliwości w aspekcie legalności można mieć w przypadku adresu e-mail nadawcy, tj.:

Rossmann <smtp2@eromail.pl>

oraz użycia w treści strony zastrzeżonych logotypów sieci drogerii. Mamy wrażenie, iż informacja, iż: „Rossmann nie sponsoruje ani nie jest w żaden sposób powiązany z serwisem” może w tym aspekcie nie wystarczyć. Tym bardziej, że regulamin serwisu (o nim jeszcze wspomnimy później) w §8 precyzuje, iż: „Usługodawca zastrzega, że […] materiały i informacje, a w szczególności […] logotypy […] stanowią przedmiot wyłącznych praw autorskich Usługodawcy”.

<uaktualnienie>

Agata Nowakowska, rzecznik prasowa Rossmann Polska, pytana przez nas o tego typu "konkursy", stanowczo podkreśliła, iż opisywane aktywności dzieją się bez zgody i świadomości firmy Rossmann:

- Nie mamy żadnych relacji biznesowych z opisywanymi firmami, nie udzielaliśmy im też oczywiście żadnych zgód.

Rzecznik Rossmanna dodaje również, że wszystkie organizowane firmę akcje, w tym w szczególności konkursy i promocje, prezentowane są wyłącznie w naszych sklepach, gazetkach promocyjnych, magazynie "Skarb" oraz na stronie internetowej firmy, w aplikacji mobilnej, a także na profilach w mediach społecznościowych. Nie są zatem wysyłane drogą e-mailową.

Panie, kto czyta regulaminy?

Czy zwróciliście uwagę, że ani razu nie użyliśmy w tym tekście popularnego w naszym serwisie zwrotu „cyberprzestępca”? To dlatego, iż działania firmy M-Line, choć można je oceniać jako wątpliwe etycznie, wydają się mieścić się w ramach obowiązującego prawa. Regulamin serwisu, którego przecież i tak praktycznie nikt nie przeczyta, precyzuje, jakie dane przekazujemy operatorowi usługi, tj., m.in.:

  • adres e-mail;
  • imię i nazwisko;
  • adres zamieszkania;
  • datę urodzenia;
  • płeć;
  • numer telefonu komórkowego;
  • domenę wejścia do Serwisu;
  • adres IP, z którego uczestnik brał udział w Konkursie;

a także dobrowolność podania przez nas danych, zgodę na ich przetwarzanie i przekazywanie do następujących podmiotów trzecich:

  • MobileB2B Sp. z o. o.
  • IT Investments Sp. z o. o.
  • Tarsago Polska Sp. z o. o.
  • Digital Contact Sp. z o. o.
  • Neocraft Sp. z o. o.
  • Salelifter Sp. z o. o.
  • 4Online Sp. z o. o.
  • PGE CENTRUM Sp. z o. o.
  • LINK4 Towarzystwo Ubezpieczeń Spółka Akcyjna
  • Netsprint S.A.
  • Colonnade Insurance S.A. Oddział w Polsce
  • we love data sp. z o. o.
  • CTDP Spółka z ograniczoną odpowiedzialnością & Co. Sp. k.

Kim Pan jest, Panie Macieju?

Pewna część uczestników „projektu” pokrywa się z opisywaną półtora roku temu przez serwis Niebezpiecznik niemal bliźniaczą kampanią, choć tamta była wykonana znacznie bardziej topornie. Czyli oznaczone wyżej tłustym drukiem firmy nie przejęły się uwagami dotyczącymi tego typu aktywności, traktując je jako stałe źródło swoich zarobków. Co ciekawe, dwie z powtarzających się firm (Tarsago Polska i Mobile B2B), a także jedna z obecnej kampanii należą do Tarsago Media Group, opisującej siebie jako „właściciela jednej z największych baz danych na polskim rynku”.

W aspekcie podobieństwa obu kampanii intrygująca wydaje się być łącząca je osoba Macieja Bogusława Madzy. To osoba stojąca zarówno za spółką M-Line (wg. informacji w KRS), jak i przynajmniej za jednym z beneficjentów wyłudzeń danych z 2018 roku, zarejestrowaną w Wlk. Brytanii spółką E-Genetix Ltd. Jej siedziba, Trident Business Centre, to położone niecałe pół godziny jazdy od centrum Londynu centrum co-workingowe, gromadzące pod swoich dachem dziesiątki małych i mikrofirm. Jak należało się spodziewać, nie udało nam się odnaleźć numeru telefonu, ani adresu e-mail do kontaktu z firmą. Jedyną drogą jest widniejący na stronie www formularz, ten jednak wysłanie informacji warunkuje zaznaczeniem checkboxów ze zgodą na otrzymywanie informacji marketingowych.

W majestacie prawa?

Poza wątpliwościami w aspekcie użycia logo do którego – jak zakładam – firma M-Line nie dysponuje prawami, wszystko wydaje się dziać w majestacie prawa. Wystarczy przecież przeczytać regulamin serwisu, by zobaczyć, że bony faktycznie są, ale tylko dla osoby, która... najszybciej odpowie na „pytania konkursowe”. Że przez sam fakt wejścia na stronę z konkursem udostępniamy jej twórcom szereg danych na temat naszego połączenia i sam fakt wejścia oznacza, iż się na to zgadzamy. Sam konkurs prowadzi legalnie zarejestrowana firma, zgodnie ze swoim profilem przedsiębiorcy i przypisanymi do siebie kodami PKD. Nie możemy więc zablokować witryny dla klientów usług Orange Polska, a jedynie uświadomić, co tracicie, wchodząc na tego typu strony. I zadać sobie samemu pytanie, jak czują się firmy (a – jak widać wcześniej – znajdują się wśród nich nie tylko „hurtownie danych”), które w ten sposób pozyskują dane marketingowe i jak to się ma do szeroko pojętej etyki.

Nowe domeny, przekierowujące na stronę z "bonami Rossmanna":

  • rossmaann-ankietki.eu
  • rossmaan-ankiety.eu
  • ankietki-rossmaana.eu
  • rossmaann-ankieta.eu
  • rossmaann-formularz.eu
  • rossmaann-ankiety.eu
  • rossmaann-ankietaa.eu
  • rossmaanny-ankiety.eu
  • rossmannankieta.eu
  • rossmann-polska.online
  • rossmann-polska.obejrzyj.online
  • formularze-rossmanna.eu
  • ankietki-rossmannki.eu
  • rossmannpromocja.pl

Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl