Wpis przeznaczony dla osób, które nie godzą się na wymuszone podawanie własnych danych osobowych w trakcie zakupów internetowych. Pamiętaj, że niektóre zawarte tu sugestie, mogą spowodować utratę gwarancji na zakupiony produkt / usługę i trudności w ewentualnym procesie reklamacyjnym. W prawie każdym przypadku będzie to jawne złamanie postanowień regulaminu bowiem do przeprowadzenia zakupu w sklepie internetowym, konieczne jest podanie prawdziwych danych osobowych.

Działasz na własną odpowiedzialność.

__________

Ostatnia wpadka z kradzieżą bazy danych klientów w Morele.net daje dużo do myślenia odnośnie poziomu bezpieczeństwa IT większych e-sprzedawców oraz działań jakie powinny zostać podjęte po wykryciu włamania (między innymi RODO). Na wstępie chciałbym tylko zaznaczyć, że przepisy oraz faktyczna troska o dobro klientów, nakazują niezwłoczne poinformowanie użytkowników o konieczności zmiany danych logowania czyli hasła, poinformowania jakie dane zostały wykradzione oraz zawiadomienia o wszystkim UODO.

 

Z opublikowanych artykułów na innych serwisach związanych z bezpieczeństwem, można wywnioskować, że, w tym przypadku, tak się nie stało. Cała procedura była maksymalnie opóźniana. Szczerze to nie dziwię się temu. Publiczne przyznanie się do zlekceważenia zasad bezpieczeństwa IT i banalne wręcz luki / zaniedbania, mogą świadczyć o braku odpowiedzialności oraz chęci zatajenia wycieku z bazy danych lub przeciąganiu sprawy w celu zebrania jak największej ilości danych, które pozwolą na identyfikację sprawcy. Nie będę tutaj pisał na ten temat, bo powodów postępowania Morele może być wiele a komu ufać i kto mówi prawdę niestety nie jestem w stu procentach pewny.

 

Po tym zdarzeniu (wyciek danych z Morele.net) powinniśmy sobie zadać jedno zasadnicze pytanie. Czy moje dane osobowe, które przekazuję do e-klepu w celu realizacji zamówienia (lub innej usługi) są prawidłowo zabezpieczone i przechowywane zgodnie z obowiązującym prawem oraz zasadami dobrych praktyk bezpieczeństwa IT? Wydawać by się mogło, że tak duży sklep jak Morele.net może dawać przykład innym. Niestety, nie w tym przypadku.

 

E-zakupy są już codziennością. Nie wszyscy zwracają uwagę na ilość danych osobowych jakie przekazujemy w trakcie rejestracji w sklepie internetowym lub w momencie realizacji transakcji (finalizacja koszyka zakupowego). Z powodu mediów społecznościowych ludzie zbyt wiele razy podają swoje pełne dane osobowe. W bardzo wielu przypadkach, takie dane są wręcz wymuszane w trakcie rejestracji konta lub wysyłki.

Social Media spowodowały, że chcemy być w internecie autentyczni i podajemy tam prawdziwe informacje, które są magazynowane w centrach danych i mogą być początkiem naszych wirtualnych kartotek informacyjnych, do których dostęp będą miały inne instytucje i firmy (choćby reklamowe). Imię i nazwisko, lokalizacja fizyczna, zainteresowania, fakty z życia umieszczane na bieżąco i stale aktualizowane, powiązania społeczne, polityczne, upodobania, zapytania w wyszukiwarkach internetowych i wiele innych.

Pełna jawność albo ograniczenie usług IT. Hmm, co tu wybrać? W końcu do takiego stanu przyzwyczajano nas już od lat. Kto dziś może przeżyć bez smartfona?

 

Na potrzeby tego wpisu, przejrzałem kilka wyrywkowych serwisów zakupowych mniejszych i tych większych e-handlowców. Nie zamieszczam tutaj pełnej listy bowiem nie chcę robić złej reklamy a jestem pewien, że prawie każdy, choć raz, miał styczność z e-sprzedawcą żądającym dużo istotnych informacji na nasz temat.

 

Większość wymaga do założenia konta podania adresu e-mail oraz hasła.

Nie wszyscy jednak informują użytkownika jak powinno wyglądać skomplikowane hasło. A proszę mi wierzyć, wiele osób nie ma pojęcia o świecie IT i stosowanie haseł typu – Adrian28 – jest poważnym błędem.

Przypomnijmy jak to robić.

 

Hasło

Zacznij stosować menadżer haseł do zarządzania bazą haseł. Mają one funkcję tworzenia skomplikowanych haseł w zależności od jego długości oraz liter, cyfr i znaków specjalnych jakie zdefiniujemy. Najlepiej używać nie mniej niż 8-10 znaków w haśle – im więcej tym lepiej. Jedno hasło jeden serwis. W przypadku stosowania menadżera haseł zalecam utworzenie bazy danych z jak najdłuższym ciągiem znaków tj. powyżej 25 znaków (i więcej). To hasło będzie broniło dostępu do innych twoich haseł więc musi być mocne.

Jak zapamiętać tak długie hasło? Po pierwsze to nie jest ono aż tak długie. Można się go nauczyć dzieląc je na trzy znakowe ciągi, coś na wzór numerów telefonów. Musisz zapamiętać jedno skomplikowane hasło a nie dwadzieścia pięć innych. Ewentualnie to samo rób w pracy ale nigdy nie łącz bazy domowej z bazą haseł z pracy. W przypadku konieczności podania hasła do firmowej bazy danych swojemu przełożonemu, twoje domowe dane logowania pozostaną nienaruszone. Jeśli już jesteś tak bardzo dużym leniem to zapisz hasło ale nie w sposób jawny i nie w formie elektronicznej.

 

Przykład:

Hasło: dB,y4%q@0-Lp

 

Zapisz hasło w podobnej postaci w notesie dodając losową ilość znaków:

awdB,q1
v+y4%c.
E;q@07(
sc-Lp/G

 

W powyższym przypadku dodałem na początku i na końcu w każdej linii po 2 znaki. Wygląda na skomplikowane ale zaręczam, że trzeba się tylko do tego przyzwyczaić. Można stosować inne permutacje np.: 3 znaki na początku i 5 na końcu lub przemiennie. Kombinacja jest dowolna. Złamanie takie zapisu, który może składać się z kilkudziesięciu znaków jest obecnie niemożliwe i po prostu nieopłacalne. Powyższy zapis chroni prawdziwe hasło przed podejrzeniem, sfotografowaniem, sfilmowaniem.

Zalecam utworzenie kopii bazy haseł i trzymanie jej na dwóch różnych nośnikach niepodłączonych do internetu.

Ważne aby zamaskowane hasło było otoczone jak największą ilością znaków, które nie powtarzają się i wyczerpują każdą możliwość znaków alfanumerycznych oraz specjalnych (łącznie ze spacją). W przypadku przechwycenia takiego zapisu, takie hasło będzie łamane słownikowo oraz z uwzględnieniem ciągów znaków oryginalnego zapisu. Cracker będzie próbował zgadnąć jak wygląda oryginalny zapis i nakaże programowi sprawdzenie zapisanego ciągu znaków w nadziei, że trafi na ten właściwy. Powyższy przykład przedstawia hasło, które nie jest poprawnie zamaskowane. Należy zwiększyć ilość znaków.

 

Moje dane osobowe w e-sklepie

Zajmijmy się teraz danymi, które trzeba podać aby móc zarejestrować się w sklepie internetowym i dokonać zakupu. Zapytałem przypadkowe osoby jak one dokonują zakupów online. Nie powiedziałem o co konkretnie mi chodzi więc musiały objaśnić mi co i jak robią. Wynik nie był zaskakujący. Okazuje się, że osoby z ogólną wiedzą informatyczną podążają normalną ścieżką zakupową i wykonują wszystkie czynności zgodnie z instrukcjami zamieszczonymi w e-sklepie.

Osoby z większą wiedzą o świecie IT są bardziej pomysłowe. Tyczy się to głównie tych, którzy dbają o swoją prywatność i o swoje dane oraz tych, którzy mają lekkiego świra odnośnie bezpieczeństwa informatycznego.

Dzisiaj, dbanie o bezpieczeństwo swoich danych osobowych to temat tabu. Niby się o tym mówi ale robienie tego zawstydza bardzo wiele osób a ci, którzy żądają konkretnych zachowań, postrzegani są jak wariaci.

Przyjrzyjmy się jak inni oszukują system.

 

Adres e-mail

Te osoby, które nie chcą podawać swojego osobistego adresu e-mail, mogą utworzyć na potrzeby zakupowe inne, zastępcze. W przypadku wycieku danych, taki e-mail można łatwo zmienić na inny nowy, przez co nie będzie nękał cię spam. Jeśli nie wiesz o co chodzi (i jak uciążliwy jest wysyp wiadomości z niechcianymi propozycjami) to umieść na stronach internetowych swój adres e-mail a zobaczysz, że w ciągu kilku tygodni zaczną przychodzić wiadomości z różnymi ofertami. Początkowo kilka. Po paru miesiącach będzie to kilkadziesiąt ofert dziennie (w zależności w ilu miejscach go podałeś).

 

Numer telefonu

Rozumiem fakt, że czasami podanie numeru telefonu jest ułatwieniem jeśli chcemy się umówić np. z kurierem. Tylko po co? Po pierwsze wiemy, kiedy przyjdzie do nas paczka i pod jaki adres. Kurierzy zazwyczaj rozwożą paczki od rana do wczesnego popołudnia więc jeśli nie ma w domu nikogo kto mógłby odebrać przesyłkę to można wysłać ją do swojego miejsca pracy lub poprosić sąsiada o jej odbiór. Podanie numeru telefonu ma sens wtedy, kiedy mieszkamy sami, nie mamy pomocnego sąsiada a w pracy może nie podobać się, że przychodzi do nas paczka (zazwyczaj chodzi o pracowników niższego szczebla).

Jeśli już trzeba podać numer telefonu, można zarejestrować drugi specjalnie na takie okazje. Uaktywniamy go w dni, kiedy odbieramy zamówienie i wyłączamy, kiedy paczkę odbierzemy. Jeśli sprzedawca będzie chciał się z nami skontaktować, pozostaje jeszcze e-mail lub tradycyjna poczta albo trzymaj telefon włączony w domu. Docenią to osoby, które już nie jeden raz były zapraszane na pokaz garnków lub odbiór „darmowego” tabletu.

Jeśli trzeba podać numer telefonu w formularzu rejestracyjnym, można spróbować wpisać ciąg zer lub kolejno cyfry – 12345… Zazwyczaj działa.

 

Twoje IP

Osobiście tylko raz spotkałem się z przypadkiem (a nie kupuję w wielu e-sklepach), kiedy logując się do sklepu internetowego z zagranicznego IP, moje zmówienie nie przeszło do działu realizacji, pomimo pomyślnego przejścia przez cały proces zakupowy łącznie z otrzymaniem maila potwierdzającego złożenie zamówienia.

Twój numer IP jest potrzebny dla spersonalizowanych reklam dostosowanych do twojej autentycznej fizycznej lokalizacji. Poza tym na podstawie twojego prawdziwego IP można ustalić gdzie dokładnie mieszkasz więc jeśli nie podajesz faktycznego miejsca zamieszkania to maskuj swoje IP. Używaj VPN lub przynajmniej proxy (proxy mogą łatwo wykrywać i blokować dostęp do serwisu; poza tym jest mało skuteczne i często zrywa połączenie).

 

Pełne dane osobowe

To najbardziej kontrowersyjna sytuacja. Czy konieczne jest podawanie pełnych danych? Oczywiście, że nie. Niektórzy podają wręcz fałszywe dane bez numeru telefonu aby po zakupie nie dostawać żadnego spamu i aby zafałszować swój profil konsumenta. Te sklepy, które wymuszają podawanie jak największej ilości danych, tworzą dla siebie bazę danych klientów, które w późniejszym etapie odsprzedają firmom oferującym reklamy lub innego tego typu śmieci.

Dla przykładu polecam zajrzeć do sklepu www.aptekaolmed.pl. Tam już w trakcie rejestracji zostaniecie poproszeni o podanie pełnych danych teleadresowych, łącznie z numerem telefonu oraz pełnym adresem zamieszkania.

 

Na słupa

Niekiedy bardziej opłacalne jest poprosić kogoś ze znajomych o zakup konkretnego produktu. Niektórzy zakładają jedno konto na kilka osób i w ten sposób mogą korzystać wspólnie z wirtualnego koszyka. Oczywiście dane rejestrowe mogą być zdefiniowane tylko na jedną osobę więc musi ona przejąć obowiązek załatwiania formalności. Niemniej jednak niektóre rzeczy takie jak choćby odbiór zamówienia, można wykonać samemu. Wystarczy znać numer zamówienia i dane zamawiającego. Z tym nie powinno być kłopotu.

Jest to chyba najlepsze rozwiązanie, które zapewnia minimum anonimowości i miesza w profilu konsumenta.

 

Podsumowanie

Wiem, że powyższe metody postępowania, wielu osobom wydadzą się dziwne. Bez obaw, możecie nadal robić to czego oczekują od was handlowcy i oczywiście ufać im, że zadbają o wasze dane lepiej niż o swoje.

Powyższe sugestie są jedynie propozycją dla tych, którzy chcieliby zachować większą swobodę i udostępniać jedynie to co jest naprawdę konieczne. Wymaga to samozaparcia oraz uruchomienia myślenia aby nie wklepywać swoich danych wszędzie gdzie popadnie i gdzie nas o to poproszą bez sensownego uzasadnienia.

Pamiętaj również o tym, że postępując w ten sposób, działasz wbrew rynkowi i wielu nie będzie z tego zadowolonych. Pomimo, że obowiązuje RODO, które wymusza określone działania na rzecz ochrony konsumenta, to nie spodziewaj się, że wszyscy będą grali uczciwie. Wprowadzenie w życie RODO to jedno a respektowanie przepisów to drugie. Na pierwszym miejscu zawsze powinno być myślenie. Zastanów się czy podanie twoich pełnych danych jest warte uzyskania pięcioprocentowego rabatu na produkt. Te pięć procent to wartość twoich danych. Rozumiem gonitwę za rabatem i zniżkami ale są pewne granice.