Привет.
Мы привыкли к тому, что наш мир стал удобным, можно купить тот или иной товар в пару нажатий на экране смартфона, причем вне зависимости от того, где вы находитесь. Мы не привыкли читать лицензионные соглашения, да и разобраться в десятках страниц текста порой невозможно без соответствующей подготовки, важные пункты запрятаны где-то в тексте и могут трактоваться так или иначе. Только опыт других людей, реже наш собственный, обнажает подводные камни этого удобства, показывает оборотную сторону медали.
Такая площадка, как Wildberries, пользуется популярностью, ежемесячно миллионы людей покупают на ней товары. Большинство указывают свои банковские карты, чтобы оплачивать с них покупки. Мы считаем, что управляем своими данными, в любой момент можем удалить данные своих карт, и они исчезнут из системы. Но, как оказалось, мы заблуждаемся! Давайте прочитаем историю Ольги, которой она поделилась с нами.
«Эльдар, добрый вечер! Давно и с удовольствием читаю ваш ресурс, надеюсь, что вы и дальше продолжите в том же духе!
Я решила написать вам о том, что WB хранит данные всех карт, с которых им платили, даже если они уже были удалены пользователем из системы. В качестве обоснования они ссылаются на пункт 5.8.1 в их правилах. Всплыло это случайно, когда сестра забрала товар, на привязанной карте не хватило средств, но оплата все равно прошла; и выяснилось, что списали с другой карты. А если б это была не её карта, а, например, кого-то, кто просил ее что-то купить; или кредитная, и она неосознанно создала бы себе задолженность и потом её просрочила? В общем вариантов много. Но, что меня даже больше пугает, если их взломают (сейчас это часто происходит), то эти данные утекут в сеть, при том, что пользователи будут думать, что все было удалено… не самый приятный вариант, но возможный. Я после разговора с ней попыталась узнать в службе поддержки WB, что нужно сделать, чтобы удалить все данные, но пока получаю одни отписки (скрины во вложении). Мне кажется нужно осветить этот аспект их деятельности, чтобы люди знали свои риски, мы же не читаем условия полностью… да их и поменять могли. При этом если они это делают для возможности снятия сумм платного возврата/незабора, то пусть просят тот же аванс на минимальную сумму и все, чтобы условия были прозрачными, а не так.
С большим уважением к вам и вашей работе, Ольга».
Меня в этой истории удивляет то, что компания сохраняет данные карт, которые пользователь удалил из своего личного профиля. Эти данные не являются собственностью компании и создают угрозу для жизни пользователя, его финансов. Ситуация максимально непрозрачная, мы не знаем, как в Wildberries защищают такие данные, как хранят. Но это не играет большой роли, так как компания вовсе отказывается удалять данные карт, даже когда пользователь заявил об этом напрямую.
Несложно предположить, что даже удаление личного аккаунта с площадки Wildberries не приведет к удалению данных банковской карты, так как внутренние правила площадки выглядят совсем иначе, чем здравый смысл и существующие законы. Большинство платежей на WB проходят без авторизации.
Надо отметить, что тут в Wildberries действуют ровно по канонам американских корпораций, которые позволяют «удалить» пользовательские данные, но в реальности оставляют их себе. На всякий случай. Удаление профиля Google не приводит к уничтожению пользовательских данных, они навечно отправляются в архив. Та же ситуация с другими американскими корпорациями, физического удаления данных не случается, а попытки его добиться не приводят ни к чему, так как система максимально закрыта от внешнего мира, никакого аудита данных просто не существует. Российские компании поступают ровно так же, тут нет никаких исключений.
Ситуация выглядит абсурдной. Пользователь стирает свои данные, но по пользовательскому соглашению он ими де-факто не распоряжается. Если вы передумаете через какое-то время, то вернуть доступ к информации не сможете. Ваши данные «удалили», причем для вас это необратимое действие. А вот для самой корпорации все, конечно же, не так, данные — это деньги, и поэтому их сохраняют.
Одним из примеров, когда «удаленные» данные вдруг были восстановлены, являются действия Google — перепродавцы покупали смартфоны Pixel у компании, нарушая лицензионное соглашение, которое прямо запрещало продавать такие аппараты третьим лицам. Произошла блокировка Google-аккаунтов, удаление всех данных Gmail, Google Photo и других сервисов. Но после того, как поднялась волна возмущения, через две недели все «удаленные» данные были восстановлены, словно они никуда не исчезали. Я знаю примеры, когда «удаленные» данные восстанавливались внутри корпораций через несколько лет после их «безвозвратного удаления».
Так что максима о том, что из Интернета нельзя ничего удалить, приобретает зловещий смысл, наши данные продолжают храниться где-то, даже когда мы об этом ничего не знаем.
Не могу дать юридической оценки действиям Wildberries, но с позиции пользователя у площадки максимально странный подход. Хранение данных банковских карт создает потенциальную уязвимость, а проблемы с IT-инфраструктурой компании в прошлом уже случались, причем такого масштаба, что WB не работал несколько дней. Каждый из нас хочет прозрачности в отношениях с интернет-компаниями, а также чтобы в нас не тыкали пунктами лицензионного соглашения (мол, сам дурак, читай, с чем соглашаешься), а проводили взвешенную политику. Уверен, что у вас есть свои истории такого же толка, поделитесь ими.
Золотое правило интернет платежей — осуществлять их только с виртуальных карт, на которых установлен лимит и которые периодически надо перевыпускать. Потому что "Если гора не идёт к Магомету…".
У нас Вальберис списал деньги за не купленный товар и мы уже четвертый месяц не можем достучаться до службы поддержки. Один и тот же ответ все время- Вашей проблемой занимаются, ждите своей очереди.
Имею для онлайн покупок отдельную карту, остаток на ней всегда 0.
А сейчас на многих сайтах уже можно платить через сбп, там номер карты вообще не нужен.
Я по наивности считаю что уже лет 20 все в курсе — кнопка удалить в том или ином интерфейсе лишь проставляет галочку не отображать в базе данных и ничего не удаляет. Ан нет, есть еще люди у которых это вызывает удивление.
Мораль — в современном мире перед тем как кому то что то отдать подумайте можно ли это что то не отдавать или отдать то что потерять не так жалко. В данном случае — виртуальная карта, левое мыло. Раньше конечно полегче было, ВИЗА позволяла делать бесплатные виртуальные карты, хз на счет других банков, но для сбера это слишком дорого поэтому там они платные если не тратить х денег в месяц, но если часто что то оплачивается то почему бы и нет. В итоге чуть чуть но безопаснее. И так нужно везде делать. Знаю что в Штатах даже сервисы отдельные есть которые дают тебе сколько угодно виртуальных карт, у меня знакомый привязал специальную банковскую к сервису такому, а уже через этот сервис карты создает для всего что оплачивает постоянно, в итоге в случае чего ты просто убиваешь виртуальную карту и вопрос закрыт, пусть корпорации хранят мусорные данные.
В этой истории покупатель полностью виноват сам, мы уже сколько лет живем в таких условиях? В первые годы я еще готов понять ссылку на незнание и прочее… но десятки лет спустя это уже откровенное раздолбайство.
А ведь всего лишь надо сделать пару банкиров / владельцев маркетов миллионерами (из миллардеров), заставив их оплатить полностью убытки от фрода, как все волшебным образом изменится. Да и нужно немного — например, принудительно выпускать карточки для покупок в интернете, причем, только в тех местах, за которые банкиры отвечают лично. А то ведь как было, выдается бабуле-пенсионерке Виза, которая позволяет безакцептно оплатить заказ у каких-нибудь австралопитеков, чем все жулье и пользуется. Кстати, МИР позволяет платежи без СМС-подтверждения? И казалось бы сейчас, как раз самое время наплевать на все дурацкие правила международных систем и сделать, как своим удобно и безопасно. Да и вообще, все эти ваши карточки — это такое дерьмо мамонта…
"БУДЬТЕ ОСТОРОЖНЫ!" отличный заголовок для российского "бизнеса"(скопированный с западного)
Ольга, в силу неосведомленности о нюансах, не выполнила важное условие, а ВБ, тактично "промолчал". Удаляя из ЛК информацию о платежных картах, Вы не сообщаете оператору этих данных о своем намерении отозвать у него право их использования. Вы их только убираете "с глаз долой". Необходимо направить ценным письмом заявление с описью и уведомлением о вручении, в котором вы отзываете у оператора персональных данных и лиц с ним связанных, свое согласие на обработку, использование, хранение и т.п. (образцов масса) конкретных данных. Он будет обязан прекратить их использование, в случае подобного казуса — надзор, суд и т.п.
А есть магазины, которые все айпишники сохраняют, с каких пользователь заходил. К примеру посмотрел статус заказа от любовницы — всё, это навсегда. Просто утечка может через месяц произойти, а может и через пару лет — как повезет.
мимoпроходил, Угу, вроде еще в начале 2000ых все понимали что из интернета ничего не удаляется, тогда конечно не имелся в виду конкретно данный сценарий с корпорациями которые мать продадут лишь бы данные юзеров заиметь, но суть та же самая.
Выложив что то в сеть это что то становится публичной информацией поэтому перед тем как выкладывать это что то нужно подумать хорошо.
GrishaTav_SE, Вроде же там без подтверждения мелочи типа сигарет? Сегодня брал как раз, вроде до 1000, чек был чуть чуть выше и уже пин просят…
С другой стороны та же яндекседа снимает деньги без вопросов, хотя некоторые доставки выкидывают на окно со вводом ЦВВ… тут похоже не дурацкие международные правила виноваты, а как раз их отсутствие, четких и строгих правил.
RubenKarapetyanz, Так даже само слово это заимствование из англ., логично что и работать будет по тем же принципам 🙂
Интересно кстати как на русском языке бизнес называется… Он ведь был в том или ином виде до СССР. Как то в голову ничего не приходит… мож у нас и бизнеса нету? 🙂
Борис, Опять кстати вопрос к гос-ву, а какого хрена договоры составляются так что туда могут вписать и передачу третьим лицам и бессрочное использование. Должно быть год и потом пусть бегают за клиентом и просят его продлить право использования, а так же пусть бегают за теми кому раздали эти данные и упрашивают их удалить иначе штрафы, многомиллионные, за каждого человека. Через годик другой они всеми правдами и неправдами будут сами отказываться эти данные брать и проблема решится.
xpo xpo, Всеми руками за умных девушек… но если жена при помощи утечки данных каким то образом привязывает ИП и в итоге узнает о любовнице… это какой то сюжет хоррора 🙂
ReadAir, При таком подходе удивительно допускать ошибку с кошельком, ведь в случае чего возврат будет на него же, а там всякое может случится, в случае с банком есть хотя бы теоретически чардж бэк. У меня вон в Стиме 90рубликов лежит и ничего с ними не сделать 🙂 А если бы только картой оплачивал то они бы на карте были 🙂
Vube, Может в банк стоило обратиться? По сути то кража… ну или грабеж, в общем так или иначе незаконное завладение и использование имущества.
Вон как история с сдеком, ЭМ прав, собрав не один лимон они вполне могли его превратить в еще больше лимонов, причем даже без затягивания возвратов. Фактически беспроцентный кредит на много месяцев.
Warak, Касперская?
GrishaTav_SE, Да уж, такая и без утечек может докопаться если оставил цифровой след 🙂
а еще буквально несколько месяцев назад про "деньги все равно могут быть списаны с удаленных карт" можно было обратиться в PCI-DSS, чтобы они немножко мотивировали офигевших.
GrishaTav_SE, >Вроде же там без подтверждения мелочи типа сигарет? Сегодня брал как раз, вроде до 1000, чек был чуть чуть выше и уже пин просят…
запрос пина зависит от кучи факторов, не только от суммы. В Лаше (сильно пахучая косметика которые) продавцы каждый раз заученно говорили "сейчас надо будет ввести пин", но покупки проходили, а там как ни зайди — минимум пятерку потратишь
но самый "топ" у меня — 160 тыр в 2016м году, пина не спросило. Охренели и продавец, и я )
кстати, 3D Secure тоже как бы включает держатель карты, а использовать или нет — решает магазин. Т.е. это необязательно. Безопасность почти как у калитки в пустыне
Warak, в смысле "виноват сам". К преступлению у нас, значит, подталкивать нельзя, а к потере денег — можно? 🙂
банки первые же рекламируют всякие кэшбеки, гигантские грейс-периоды (слышали рекламу про лучшую в РФ кредитку от Сбера) и т.д.? все это как раз и нацелено на то, чтобы человек использовал именно эту карту.
Ни разу еще не натыкался, например, на рекламу чего-то типа "вы можете выпускать бесконечное число виртуалов к своей основной карте, все покупки по виртуалу будут проходить с теми же условиями, что и по основной карте"
Vube, Пишите в банк на chargeback, если банк вменяемый вернете всю сумму довольно быстро.
Супер, я очень рад.
Warak, "В этой истории покупатель полностью виноват сам…"
Ну конечно. Вышел вечером из дома, дали по голове и ограбили — сам виноват, надо было дома сидеть. Девушку изнасиловали — сама виновата, нечего мини-юбку носить. У бабульки пенсию в автобусе вытащили — сама виновата, не чего деньгами светить. И так далее, до бесконечности.
Ущербная логика, не находите? Если кому-то удалось обмануть человека, это не человек дурак, а обманщику доверяли больше, чем он того заслуживал. Ну и вопросы к тем, кто должен следить за подобными ситуациями и брать их на контроль. Закон о дискредитации ВС приняли за несколько дней, а ситуацию с хранением личных данных никто в принципе не рассматривал. "Дикий капитализм" во всей красе.
Борис, Да, но тогда Вы не сможете покупать ничего на вайлдбериз, не зарегистрировавшись заново.
Warak, Спекуляция. А бизнесмены — спекулянты. Что в ссср равнялось — злостные ворюги и мироеды.
Warak, Это вопрос не к государству, а к нам, тем, кто это подписывает. Договор всегда — продукт согласия двух сторон, но вспомните, как трудно добиться изменений в нём: вам будут рассказывать, что это невозможно, договор типовой, форма утверждена, не хотите — не надо и т.д. и т.п. Хотя на самом деле зачастую речь идёт о публичной оферте и банальных требованиях законодательства. У кого хватает сил КАЖДЫЙ раз бороться с этим? Простой пример: ведёшь ребёнка 5 лет в какой-то с***ный кружок, тебе суют "Согласие на обработку ПД" Зачем, спрашивается? Чтобы ФИО ребёнка внести в эксельку?.. При этом отказ от согласия приводит к управленческому запору: никто не знает, что делать, проще уйти в отказ.
менять основную карту после онлайн-магазинов, иметь резервную (виртуальную), если не можете обойтись без онлайн-потребления
Vladimir Eliseev, Ну это понятно, но на уровне законов договор все равно регулируется, описано что нельзя включать, что можно. Так или иначе проблема бы намного проще решилась. Люди сами никогда не организуются. К тому же речь в данном случае не про отказ, а именно закрепленное законом ограничение срока, а то ты взял допустим кредит, выплатил, договор закончился, а вот инфа которую ты передал "не закончилась", возникает вопрос почему.
Пользоваться виртуальной картой с нулевым балансом, пополнять её на сумму, нужную для конкретной покупки .
Не вносите смуту в массы, списание с удаленных карт не производят. В начале сентября заказывала на WB товар на сумму 744 руб, , в профиле было привязано 3 карты, одна выбрана для оплаты. Заказ забрала, почему-то транзакция не случилась автоматически, видимо был сбой какой-то. Я об этом знать не знала, истратила оставшиеся деньги с карты в супермаркете…. и естественно, оказалась в должниках у WB. Пока не пополнила карту, выбранную как основная из трех привязанных, висела в должниках, с других карт ничего не списывали. Сейчас все проще, никаких привязанных карт не нужно, но есть три варианта на выбор для оплаты товара: банковская карта, СБП и кредит.
Светлана Кортезе, Подписываюсь под каждым словом. На этой площадке покупал товары. За некоторое время до этого для знакомой покупал со своего аккаунта с оплатой ее картой. Догадаетесь, откуда начали списывать деньги? Написал в WB в bug bounty, считая что это баг. Они даже не посчитали нужным ответить.
Warak, Есть небольшая оговорка в правилах возврата Стима. Дословно не помню но суть ее в том, что способ которым производилась оплата может не поддерживать возвраты(либо с ними могут быть временные проблемы как сейчас)и тогда деньги в любом случае вернуться на внутренний баланс.
R4venh0ln, Совсем чудесно 🙂 Хотя сейчас да, вон гуглостадия же уже сказали что русские пролетают с возвратами 🙂 Конечно тот русский что в это вложился изначально… не лучший представитель нации, но все равно забавно получается.
У меня всегда вопрос был, как раз связанный с возвратами. Почему продавцы с нас требуют оплату сразу, а когда дело доходит до возврата средств то "бла бла бла до месяца в зависимости от банка мы не виноваты" 🙂 Я может тоже хочу не сразу платить, а через месяц-два 🙂 Например почему бы не заплатить в течении 2х недель которые дают на возврат товара? 🙂
Warak, Ну, в Стиме у тебя 2 часа игрового времени есть с гарантированным возвратом средств. А на счет терок с магазинами за возвраты, то пока остаётся только расчет наличкой как самый безхлопотный вариант, так как при возврате тебя насчитают так же наличкой иногда люди скандалить начинают когда по ошибке что то купили и хотят вернуть думая, что при оплате картой деньги возвращаются сию секунду. Работал в магазине техники и сам лично консультировал людей которые покупали весьма не дешевую технику, большинство когда предлагали им рассрочку или кредит наотрез отказывались от этого мотивируя это как раз таки более быстрым возвратом денег в случае брака либо если это какая нибудь техника для кухни которая будет стоять весь ремонт запакованная, в случае чего вернуть если передумают в течение этих самых двух недель.
Сейчас пользоваться wildberries крайне небезопасно. У wildberries может произойти сбой, на ваш аккаунт будет заказано множество товаров и вам придётся платить за доставку или придёт не тот товар и вам тоже придётся платить или другой сбой за который придётся расплачиваться именно Вам. Поэтому лучше держаться подальше от wildberries.К счастью, есть альтернативы зачем же пользоваться маркетплейсом, который плохо относится и к продавцам и покупателям?
😤