Bányász Péter – Katona Gergő
Az online vásárlás mindennapjaink szerves részévé vált, mivel kényelmes, gyors formája a vásárlásnak. Az online kereskedelem népszerűségét az új típusú koronavírus is növelte, hiszen általa a járványügyi védekezést megtartva, biztonságosan vásárolhattunk alapvető élelmiszerektől kezdve számos terméktípust.
A statista.com felméréséből is látható, hogy a nagytőkés online vállalatok bevételei (mint például: Amazon, Alibaba) 50%-os növekedést is elérhetnek 2021-re. Természetesen az online kereskedelem népszerűségére a kiberbűnözők is felfigyeltek, hiszen a vásárlók jelentős része nem kifejezetten biztonságtudatos adat- és információbiztonsági tekintetben. Jelen írás nem a klasszikus online csalásokra kívánja felhívni a figyelmet, hanem az adatvédelem fontosságára. Akit az online csalások témaköre alaposabban érdekel, mindenképpen ajánljuk Simon Béla és Krasznay Csaba Kiberbűncselekmények az online kereskedelemben című tanulmányát.
Annak érdekében, hogy minimalizáljuk a kiberbiztonsági incidensek bekövetkezésének lehetőségét, ne váljunk valamilyen támadás, csalás áldozatává, körültekintően kell használnunk az egyes online áruházak felületét. Tudatában kell lennünk annak, hogy pontosan kivel milyen adatot osztunk meg amikor az egyes áruházak oldalán keresgélünk vagy vásárolunk. Amennyiben nem figyelünk oda ezekre a dolgokra, akaratlanul is számos olyan információt oszthatunk meg magunkról, amit nem kifejezetten szeretnénk eltérő motivációk okán. Fontos látni azt is, hogy nyílt forrású információgyűjtéssel akár az online vásárlással kapcsolatos szokásaink is felhasználhatók ellenünk egy esetleges kibertámadás esetén.
A vásárlási szokásaink, preferenciáink feltérképezésére számos példát lehet hozni (például a különböző ár összehasonlító oldalak kommentjeit), azonban e blogposztban a Wish online áruházat vizsgáltuk. A Wish egy online piactér, amely a felhasználók millióit köti össze kereskedőkkel a világ minden tájáról. A világ egyik leggyorsabban növekvő vásárlási alkalmazása, több mint 100 országban és 40 különböző nyelven nyújtanak szolgáltatást az ügyfelek számára. Vélhetően a Facebook felhasználók rendszeresen találkoztak az oldal rendkívül agresszív, és sokszor érthetetlen, provokatív, megdöbbentő hirdetéseivel.
Az online piactérre való regisztráció során a felhasználónak meg kell adni a vezeték- és keresztnevét. Itt sokan a valódi család- és utónevüket használják, bár ez nem kötelező, azonban a régi beidegződések nehezen múlnak el. A név megadását követően egyéb adatokat is kér tőlünk az oldal. A Wish egyik kényelmi funkciója – hasonlóan sok már szolgáltatáshoz –, hogy ha megtetszik valamely termék, elmenthető egy Kívánságlistára, hogy ha később megszeretné a felhasználó azt rendelni. A Kívánságlista létrehozása pár kattintás, és különböző kategóriák alapján állíthatjuk össze, és ily módon kategorizálva adhatjuk hozzá a minket érdeklő termékeket. A profil fülön új kívánságlista létrehozása, majd egy elnevezés után kész is a lista, amibe mehetnek is a kívánt termékek. Amikor létrehozunk egy kívánságlistát, az alapértelmezettként publikusként jön létre, csupán később van lehetőségünk arra, hogy ezt publikusról priváttá állítsuk. Az egyik probléma, hogy az oldal erre nem hívja fel a felhasználó figyelmét, aki beleeshet abba a hibába, hogy azt gondolja, a kívánságlistába pakolt termékeket csupán ő látja.
A későbbiekben, ha a felhasználó megvásárol egy terméket, értékelheti is azt, akár szöveges formában is, hogy segítségre legyen a többi vásárló döntésében. A szöveges értékelés esetében a felhasználó utóneve és nemzetisége jelenik meg, illetve ha korábban nem állította publikusról priváttá a kívánságlistáját, akkor azok is böngészhetők a többi felhasználó részéről. Nem nehéz belátni, hogy ez miért is jelenthet komoly problémát. Jelen blogposzt apropóját pontosan ez szolgáltatta, ugyanis vizsgálva ezt az adatvédelmi kérdést, olyan nyilvános kívánságlistát is találtunk vezeték névvel, országgal feltüntetve, aki meglehetősen extrém szexuális termékeket helyezett el a listájában, feltehetően úgy, hogy nem volt tudatában ennek nyilvános megjelenéséről.
Ha jobban megvizsgáljuk az első képet, látható alul egy „Kapcsolatfelvétel, Feltételek, Szabályzatok” fül, ahol természetesen megtalálható az adatvédelmi nyilatkozat is. Fontos azt is látni, hogy bár az alkalmazás felülete magyar, minden egyéb információ, kezdve az adatvédelmi nyilatkozattól, általános vásárlási feltételeken át minden angol nyelven olvasható csupán. Ezt pedig nem nehéz belátni, hogy Magyarországon, ahol az emberek nagy része nem vagy csak alapfokon beszél angolul, miért is komoly kockázat az adatvédelmi kockázatok megértése okán.
Hiába szerepel tehát az adatvédelmi nyilatkozatban angolul az alábbiakat szöveg, ha a felhasználók egy jelentős része nem érti: „Bizonyos felhasználói profiladatok, beleértve a nevét, fényképét, tartózkodási helyét, a kívánságlistán szereplő elemeket (hacsak nem teszi priváttá a kívánságlistát), az Ön által írt véleményeket (beleértve az ilyen véleményekkel feltöltött fényképeket és videókat is), valamint a követett emberek listáját megjelenhetnek más felhasználók számára, hogy megkönnyítsék a Szolgáltatáson belüli felhasználói interakciókat.” Így már tisztában is lehetnénk azzal, hogy alapjáraton publikus kívánságlistát hozunk létre, amelyet más felhasználó is láthat, és csak külön a kívánságlista szerkesztésénél az adatvédelem bekapcsolásával, lehet priváttá tenni az adott listát.
Csakhogy a felhasználási feltételeket, illetve az adatvédelmi nyilatkozatokat a felhasználók igen kis százaléka olvassa el. A Deloitte felmérése alapján az amerikaiak 91%-a nem olvassa el ezeket a dokumentumokat. Ez azt jelenti, hogy a szolgáltató eleget tett a kötelezettségének, és leírta a feltételeket és lehetőségeket a adatvédelmi nyilatkozatában, amit mellesleg alig pár felhasználó olvas el. Mindezt az alacsony arányt az esetleges nyelvi korlátok tovább növelik.
A valóságban az történik, hogy a felhasználók nagy része elolvasás nélkül elfogadja a felhasználási feltételeket és adatvédelmi nyilatkozatot, ezzel létrehoz egy fiókot magának saját nevével. Ezután teljesen nyugodt szívvel készít magának egy kívánságlistát, mind ezt abban a tudatban, hogy nem látja ezen listát senki, mivel ennek ellenkezőjére az adatvédelmi nyilatkozaton kívül semmi nem utal az oldal kezelő felületén. Ezen lista tartalmából így számos személyes adatot (kapcsolati állapota, gyermekek száma) vagy különleges személyi adatot (egészségügyi állapota, vallási hovatartozása) ki lehet következtetni. Az alapadatok révén (például teljes név) közösségi oldalon megtalálható az adott személy, és a kívánság listája alapján akár zsarolás vagy zaklatás áldozatává is válhat.
Fontos tisztázni, posztunkban nem a Wish online piactér ellen kívántunk állást foglalni, hanem fel akartuk hívni a figyelmet a tudatos vásárlás egy viszonylag ritkán érintett aspektusára, az adatvédelmi kockázatokra. Reméljük, jelen írás hozzájárul ahhoz, hogy az olvasóknak ne okozzon kellemetlenséget az online vásárlás.
Felhasznált irodalom:
Caroline Cakebread: You’re not alone, no one reads terms of service agreements, letöltés dátuma: 2020. december 21., https://www.businessinsider.com/deloitte-study-91-percent-agree-terms-of-service-without-reading-2017-11
Revenue growth of selected internet and online service company verticals 2019-2021, Tugba Sabanoglu, letöltés dátuma: 2020 december 21., https://www.statista.com/statistics/271579/internet-company-vertical-revenue-growth/
Wish adatvédelmi nyilatkozata: https://www.wish.com/privacy_policy