Také máte ve firmě krtka od přímé konkurence?

Občas se ve své praxi setkáme s případy, kdy by se klient mohl obrátit o pomoc nikoliv na digitální agenturu, ale rovnou na právníka. Nebo na scénáristy pořadu Věřte, nevěřte. Je totiž až k neuvěření, jak si některé internetové firmy dokáží osvojit technologie a využít neznalost svých klientů ve svůj prospěch. Škody, které přitom dokáží napáchat, mohou být značné. Buď neznají právní normy týkající se osobních údajů, obchodní a trestní zákoník, nebo je jim to jedno. Na jednom konkrétním případu vám ukážeme na co si dát pozor. Náhledy stránek nepoužijeme. Poukázání na 1 konkrétní případ nic neřeší, jde o rozsáhlejší problém. Rozhodnutí o dalším postupu je teď na našem klientovi.

Digitální investigativní vyšetřování v praxi

Při vstupním jednání s naším novým klientem jsme rozebírali dosavadní nefungující a nerentabilní marketing. Zajímavou informací pro nás bylo, že klient pozoroval dlouhodobě zvláštní jev. Pokud na jeho stránky přišel nový zájemce, téměř pravidelně tento zájemce hned na druhý den obdržel nabídku konkurenční firmy. Shoda byla v tolika případech, že vzniklo podezření, že někdo s údaji obchoduje. V rámci vstupních analytických prací jsme si druhý den po tomto jednání všimli, že se nám při návštěvě sociální sítě Facebook začala zobrazovat reklama na konkurenční firmu. Mohla to být náhoda, ale také nemusela. Rozhodli jsme se na to podívat pěkně zblízka.

Přes webové stránky, analytická data nad nimi a díky službám třetích stran a veřejným zdrojům informací dokážeme „svléknout do naha“ téměř každou firmu. Známe velmi podrobně webové technologie a přesně víme, kam se jít podívat. Za pár minut jsme měli jasno. Na webu byl vložený (dobře uklizený) kód jedné méně známé ale veřejné služby. Jejím cílem měla být identifikace návštěvníků webu s větší přesností. Pokud se pak taková firma nechová morálně, anebo alespoň v rámci existujících právních předpisů, je velmi jednoduché klientova obchodní data zpeněžit někde jinde. Klidně dvakrát, třikrát .. padesátkrát.

Trocha nezbytné teorie, aneb jak funguje webová stránka technicky

Stačí pochopit úplné základy toho, z čeho se skládá webová stránka uvnitř. Jde o systém jednotlivých softwarových komponent. Můžete si je prohlédnout pohledem webových vývojářů stisknutím kombinace kláves CTRL+U v Chrome. Lehce se pak dá zjistit, z čeho se webová stránka ,,lepí“:

• HTML kód – neboli jazyk, který vypisuje obsah stránky (nadpisy, texty, odstavce, odkazy)
• v HTML kódu jsou na určených místech odkazy na další zdroje – obrázky, videa
• a to celé se musí hýbat díky dodatečným prvkům – například knihovny JavaScript, které zajišťují animace, jiný druh písma, mobilní zobrazení

Odkazy na obrázky a dodatečné prvky (Javascript prvky) jsou alfou a omegou internetu a zároveň kamenem úrazu z hlediska ochrany údajů. Odkaz na takový obrázek nebo skript může vést nejen na vlastní web, ale také na cizí doménu, nad kterou už nemáte žádnou kontrolu. Díky této myšlence vznikl samotný internet, kdy díky pincipu provázanosti může kdokoliv na svůj web umístit video z Youtube, propojit se s jiným webem, nebo spustit například konkrétní funkční aplikaci skrze JavaScript kód. To vše jednoduše a za několik vteřin. Proto dnes existují krásné weby, s krásnými funkcemi, a jejich výroba stojí promile toho, co by každý musel řešit znovu a znovu samostatně.

Každý web je dnes doslova prolezlý aplikacemi, které se nahrávají z cizích míst. Ukázky?

• Pokud chcete na webu mít hezké písmo, obvykle všichni vývojáři používají Google Fonts – externí JavaScript knihovna
• Tlačítka sdílení na Facebook, Twitter, LinkedIn – externí JavaScript knihovna od dané sociální sítě
• Sledování chování uživatelů a pohybů myši – externí JavaScript knihovna
• Pokud toužíte po rychlém webu – své obrázky a knihovny nahráváte ze sítě CDN – externí umístění nad kterým nemáte kontrolu

Jak vidíte, používat externí aplikace, nebo nahrávat části webu z jiného místa než vlastního webu, je naprosto normální.

A právě taková možnost provázanosti webu může být problém. Kódy aplikací, které s něčím na webu pomáhají, umožňují práci s webovou stránkou téměř stejně jako vlastní aplikace, která je umístěna přímo a pouze na vašem vlastním webu. Musíte si tedy důkladně rozmyslet, koho na svůj web pustíte. Cizí kód na vašem vlastním webu je v online prostředí to samé, jako dát klíče od firmy pošťákovi, protože věříte, že v dobré víře jen odemkne, vyloží balík za dveřmi a hned zase odejde.

V současné době neexistuje mechanismus, který by dokázal omezit tyto cizí online technologie a zamezil jim dělat si s vaším webem co uznají za vhodné. Třeba měnit obsah, grafiku webu, šmírovat vaše návštěvníky, identifikovat potencionální klienty, a tyto informace třeba i prodávat konkurenci. Jediná současná ochrana je důsledné čtení podmínek služeb, které si na web pouštíte. Se speciální pozorností na ty, které jsou příliš levné, nebo, nedej bože, zdarma. Přesně takový „nevinný“ kus cizího kódu, někým doporučený, za skvělou cenu, měl na webu umístěný náš klient. Už si nepamatoval, jak dlouho.

Krtka jsme našli, ale potřebovali jsme důkazy

Abychom si svá podezření potvrdili, udělali jsme test. Tvrzení, že klientovi XYZ někdo vykrádá zákazníky, je poměrně hodně zásadní a nestáli jsme o žádnou blamáž. Na začátku jsme nemuseli pro prvotní ověření dělat nic výjimečného, stačilo přejít na Facebook. Po návštěvě webu klienta a nalezení škodlivého kódu jsem se šel podívat na Facebook. Nikdy předtím jsem nepotřeboval, nehledal ani se nezajímal o sortiment, se kterým obchoduje. K mému překvapení jsem mezi reklamami, které mi Facebook nabídl, našel hned tu první velmi pěkně udělanou reklamu od konkurence … na prodej sortimentu velmi podobného jako má náš klient.

Technicky se stalo to, že návštěvnost, do které klient investoval velmi vysokou cenu (osobní návštěvy, drahé kliknutí na reklamy ve vyhledávání, atd), jeho konkurence vykrádala skrze remarketingové publikum a kód třetí strany, který tyto data obhospodařoval! Klíč k úspěchu tkvěl i v tom, že ona třetí strana poměrně pečlivě sleduje také informace, které potencionální klienti vyplňují do poptávkových formulářů. Je vám už jasné, jak se druhý den ráno může váš potencionální zákazník rozhodovat, když na stejný nebo podobný produkt dostane zajímavější nabídku. Reklamu mu přeci zaplatila konkurence, tak si může dovolit snížit cenu. Pokud i vy máte na svém webu nevinný chat, nebo podobnou neověřenou aplikaci, věřte, že i vy můžete nevědomky všechny draze zaplacené poptávky zároveň posílat své konkurenci. Pokud by vám to náhodou vadilo, ozvěte se 🙂

Nemohla to být jen náhoda?

Technicky zdatný uživatel může oponovat, že je to mohla být náhoda. Sledování jsme si ověřili. Vytvořili jsme naprosto novou identitu z hlediska internetového uživatele:

• Nový profil internetového prohlížeče Chrome
• Nový uživatelský účet Google
• Nový uživatelský účet na Facebooku
• A ano, to vše jsem vytvořil na fyzicky vzdáleném místě, na jiném PC, jiné IP adrese
• A do toho místa jsem se připojil přes anonymizační službu VPN

Jinými slovy, mimo vládní organizace, které by v případě potřeby moji identitu ručně dohledaly, jsem na internetu naprosto nový uživatel. S mojí historií a preferencemi si to určitě nespojí za 5 minut ani Facebook. Co jsem udělal dál? Přihlásil jsem se na Facebook a sledoval, co se bude dít. Nejprve jako reklamy naskakovaly různé ,,nízkonákladové“ weby, jejichž cílem bylo vydělávat na reklamě v druhotné aukci (reklamní arbitráž), protože Facebook pro mě ještě neměl vhodné publikum na remarketing (neznal moje preference a přání). Po asi 5 minutách jsem se podíval na web klienta XYZ a prošel pár stránek. Hádejte, co bylo výsledkem. Cílené reklamy do několika minut?

Doslova za několik minut se začaly objevovat reklamy cílené na oblast zájmu našeho klienta. Ale byly to reklamy konkurenční. Nejprve na prvního konkurenta, pak na dalšího, po 4. jsem to již přestal počítat. Postupně jsem ale navštívil weby dalších firem, které používaly stejný kód dané služby, a za několik minut se tak můj Facebookový profil proměnil v přehlídku reklam pro:

• stavební nářadí a technologie pro stavbu domu ((konkurence pro 1 z webů co jsem si proklikal)
• prodej kancelářských potřeb ((konkurence pro 1 z webů co jsem si proklikal)
• obleky pro TOP manažery (konkurence pro 1 z webů co jsem si proklikal)
• … a mnoho dalších

To vše s vědomím Facebooku, že jsem 18 letá studentka gastronomické školy, která má ráda pejsky. Že by Facebook cílil úplně špatně? Nemyslím si. Pointa je v tom, že zatímco reální klienti shánějí draze své zákazníky legální cestou, tak vykradači remarketingových kódů inzerují klidně 3x efektivněji. Jedinou cestou, jak se proti takovému jednání bránit, je hlídat si koho pouštíte na svůj web, a průběžně nebo při sebemenším podezření udělat revizi datových toků ve firmě. Včetně revize přístupových práv do systémů (odebrat bývalé zaměstnance, agentury se kterými už nespolupracujete, snížit nebo zvýšit úroveň práv současným adminům, atd). V kontextu odcizení citlivých firemních dat je softwarová bezpečnostní prevence v obchodní praxi možná mnohem důležitější, než dokonale zpracované GDPR.