«Киберлайфхак»: бесплатная еда с помощью GDPR
Как уязвимость в законодательстве, промокоды и плохо спроектированные базы данных могут позволить не платить за еду в Европе.
Для этого достаточно после первого заказа сделать запрос на удаление пользовательских данных из базы сервиса по заказу еды — отказаться компания не имеет права, иначе будет выплачивать крупный штраф. Но это работает только там, где ИТ-специалисты не хранят адреса отдельно от других персональных данных пользователей.
Миша @tauspace вчера в баре рассказал топовый киберлайфхак. Для него нужны две вещи — скидосики и GDPR. Сразу поясню: скидосики в Германии — часть культуры. Нет скидосика, пробного периода, подарка — немец никогда не купит, наверное это для туристов. Скидосики есть на всё.
Что общего у тридцатицентового пива, SIM-карты и скоростного поезда в Амстердам? Всё это можно купить за полцены, если хорошо поискать. Больше ищешь — больше скидосик, вплоть до бесплатного. Хочешь прямо сейчас — наверное, ты занятой бизнесмен, плати полную цену. Социализм. Приезжие студенты занимаются этим как спортом. Теперь сам лайфхак.
В Берлине есть сервисы доставки продуктов по подписке. Раз в неделю тебе к двери приносят ящик со всякими макарошками, брокколи и рецептами внутри. Кстати, неплохими. Новых пользователей завлекают акциями типа «первая коробка в подарок». Больше одного раза зарегаться не прокатит — адрес квартиры остаётся в базе.
А теперь вспоминаем GDPR. Заказываем первую бесплатную коробку, шлём запрос на удаление данных из БД, заказываем снова. SCHМЕКАЛÖЧКА. Не прислали бесплатной еды — прямо нарушили GDPR, будьте добры занести пару миллионов евро штрафа регулятору. Прислали — поздравляю, вы великолепны!
На самом деле Зубарев признает, что это в большей степени шутка — у компаний есть технические решения, чтобы избежать «безлимитных заказов», но их нужно учитывать во время проектирования ИТ-системы.
Так. Похоже не все уловили, что предыдущий пост — выдуманная шутка из бара и никто не собирался проверять это всерьез. Технические решения тоже есть — надо хранить адреса в другой таблице и при GDPR-запросе рвать связь с пользователем (в чате даже прозвучало забытое слово «биекция»). Но я удивлён насколько мало айтишников всё еще не думает об этом, проектируя свои системы. GDPR-то всех касается, даже если вы не в Европе.