Zapadł ostateczny wyrok w sprawie IAI przeciwko Google Poland. IAI S.A wytoczyła sprawę przeciwko polskiej spółce Google Poland, ponieważ w dniach 5 do 8 stycznia 2012 roku w przeglądarkach Google Chrome, Mozilla Firefox oraz Apple Safari, Google na skutek swojego błędnego działania zablokowało wyświetlanie strony www.iai-shop.com oraz ponad 1000 sklepów internetowych IAI. Dla osób słyszących o sprawie po raz pierwszy, przypominam, że nie chodzi o blokadę stron w wyszukiwarce, ale zupełnie inny mechanizm o nazwie Google Safe Browsing.
Google administruje mechanizmem Google Safe Browsing mającym na celu blokowanie stron internetowych wyłudzających informacje i dane. W dniu 5 stycznia 2012 system ten zablokował stronę firmową IAI oraz około 1000 sklepów przez nich obsługiwanych a blokada polegała na tym, że na stornach internetowych tych podmiotów przez okres kilku dni widniała informacja, że strony te wyłudzają dane. Ponadto analogiczna informacja pojawiła się na tysiącach aukcji w Allegro obsługiwanych przez klientów IAI. W wyniku tej sytuacji IAI i jej kontrahenci utracili wiarygodność.
Google Poland odpowiedziało na zarzuty przede wszystkim, że nie są ani nie powinni być stroną sprawy. Powołując się na dane i opis sposobu działania usługi Google Safe Browsing, spółka Google Poland wskazała, że operatorem i usługodawcą zarówno wyszukiwarki Google, przeglądarki Google Chrome jak i usługi Google Safe Browsing jest spółka Google Inc z siedzibą w Mountain View w Kalifornii, USA. Podkreślono, że spółka Google Poland w Polsce wykonuje wyłącznie działalność marketingową oraz świadczy usługi wspomagające „sprzedaż usług reklamowych” i nie ma żadnego wpływu na działanie usługi Google Safe Browsing.
Komunikaty o wyłudzaniu danych przez IAI
W tych styczniowych dniach użytkownicy Internetu korzystający z przeglądarki internetowej Google Chrome, po wpisaniu adresów internetowych stron sklepów opartych o IAI, spotykali się z komunikatem wskazującym, że strona, którą próbują otworzyć jest zgłoszona jako wyłudzająca informacje a przeglądarka zablokowała do niej dostęp. Następnie pojawił się komunikat, że strony wyłudzające mają podstępnie skłonić użytkownika Internetu do ujawnienia loginu hasła lub innych poufnych informacji podszywając się pod inne strony którym można ufać.
Użytkownicy przeglądarki Mozilla Firefox, otrzymywali komunikat publikowany na czerwonym tle zatytułowany „Zgłoszony przypadek oszustwa!” i informujący o tym że strona, którą zamierzają otworzyć, została zgłoszona jako przypadek oszustwa i zablokowana zgodnie z ustawieniami bezpieczeństwa. W treści komunikatu wskazywano też, że witryna oszusta może podawać się za zaufane źródło, a celem tego ataku jest zwykle wyłudzenie danych oraz wprowadzanie jakichkolwiek informacji osobistych na tej stronie może skutkować kradzieżą tożsamości lub inną malwersacją.
Użytkownicy przeglądarki Apple Safari w analogicznej sytuacji spotykali się z komunikatem zatytułowanym „Uwaga: witryna podejrzewana o phising” oraz informacją, że odwiedzana witryna została zgłoszona jako stosująca phising. Informowano, że takie witryny mają na celu wyłudzanie danych osobowych lub finansowych zwykle udając prawdzie witryny , np. bankowe”. W innych przeglądarkach nie pojawiały się takie komunikaty.
Po trzech dniach poszukiwań, programiści z IAI zauważyli, że Google nie blokowało domen na podstawie żadnej merytorycznej oceny. Żaden skrypt nie powodował tego błędu. Google uznało jedynie każdy link zawierający „iai-shop.com/panel” jako powodujący wyłudzenie danych.
Ten komunikat wyświetlił się dla około 1500 sklepów internetowych oraz dotarł do 7,5 miliona unikalnych użytkowników.
Korzystanie z usługi Google Safe Browsing jest dobrowolne dla użytkowników każdej z trzech wymienionych przeglądarek, przy czym po zainstalowaniu przeglądarki przez użytkownika, program zostaje ustawiony domyślnie na włączony i aby z niego zrezygnować użytkownik musi zmienić ustawienia domyślne.
Mechanizm działania usługi Google Safe Browsing i wymienionych przeglądarek faktycznie nie blokuje stron podejrzanych o wyłudzanie informacji lecz ogranicza się do publikacji odpowiedniego komunikatu. Użytkownik może informację tą zignorować i przystąpić do przeglądania zawartości wybranej strony. W zależności od rodzaju przeglądarki komunikat o możliwości wyboru takiej opcji jest położony w różnych miejscach. Komunikat każdej z przeglądarek sugeruje zaniechanie dalszego przeglądania podejrzanej strony.
Proces IAI przeciw Google Poland
Jeszcze 30 stycznia 2012 roku IAI wystosowała pismo z żądaniem 1,5 mln zł odszkodowania i 0,5 mln zł zadośćuczynienia, a następnie skierowała sprawę do sądu. Na rozstrzygnięcie trzeba było czekać ponad dwa lata.
Wyrok zapadł w połowie października 2014 roku. Sąd Okręgowy w Szczecinie odrzucił pozew spółki, obciążając ją kosztami procesu i kosztami sądowymi (ok. 5 tysięcy złotych), ale jednocześnie w uzasadnieniu wyroku przyznał, że IAI niesłusznie został oskarżony o kradzież danych przez mechanizm Google Safe Browsing. Natomiast pozew został odrzucony, ponieważ sędzia uznał, że IAI powinna skarżyć amerykańską spółkę Google Inc., a nie jej polskie przedstawicielstwo. W uzasadnieniu jest duża część treści poświęcona temu, że Google Poland sp. z o.o. to nie jest oddział Google Inc.
Dwa lata temu IAI Shop cieszył się z małego sukcesu przeciwko Google. Dziś nie pozostają żadne wątpliwości, że Google jest absolutnym monopolistą i żadna mała firma nie jest w stanie dojść swoich praw.
PS.
Jako istotny w sprawie z technicznego punktu spojrzenia, należy zauważyć fakt, że dla domeny iai-shop.com w dniu 4 grudnia 2011 roku przyszedł komunikat za pośrednictwem Narzędzi dla Webmasterów Google, w którym otrzymał informację zatytułowaną Powiadomienie o wyłudzaniu informacji dotyczące witryny iai-shop.com.
W treści tej informacji wskazano, że doszło do wykrycia, iż na niektórych stronach w witrynie adresata znajduje się zawartość świadcząca o prawdopodobnym ataku mającym na celu wyłudzanie informacji, w ramach którego użytkownicy są nakłaniani do podania poufnych informacji na przykład danych logowania lub danych bankowych. Podano też przykład jednego z adresów oraz zasugerowano środki bezpieczeństwa, które winien podjąć administrator. IAI Shop po otrzymaniu tej wiadomości nie podjął żadnych działań a później nie otrzymał już dalszych komunikatów.
Orzeczenie Sądu Okręgowego w Szczecinie VIII Wydział Gospodarczy sygn. akt VIII GC 260/12
Zapisz się do newslettera wypełniając pola poniżej. Będziesz na bieżąco ze wszystkimi wydarzeniami związanymi z Silesia SEM i informacjami o marketingu internetowym w sieci. Nie spamujemy.
Zostanie wysłany do Ciebie e-mail potwierdzający: przeczytaj zawarte w nim instrukcje, aby potwierdzić subskrypcję.
Artur Strzelecki
Jak widać, Google to potęga. 🙂
W USA pewnie sprawy nie wytoczą gigantowi bo prawnicy googla by ich pożarli
Ale o co chodzi? Po prostu wystosowali swoje żądania do niewłaściwej firmy. Komentarz w stylu „Dziś nie pozostają żadne wątpliwości, że Google jest absolutnym monopolistą i żadna mała firma nie jest w stanie dojść swoich praw.” jest nie na miejscu.
„Dziś nie pozostają żadne wątpliwości, że Google jest absolutnym monopolistą i żadna mała firma nie jest w stanie dojść swoich praw.”
nie jestem prawnikiem, ale wydaje mi się, że argument Google Polska i orzeczenie sądu ma sens – to nie polska spółka odpowiada za ten błąd, a pozew zwyczajnie skierowano do nie tego pozwanego co trzeba. Gdyby sąd (amerykański?) odrzucił wniosek w sporze IAI vs Google Inc to wtedy można by mówić o molochu nie do ruszenia.
To może się zmienić jeżeli wejdą przepisy umożliwiające sądzenie się z firmami w/g prawodawstwa kraju na terenie którego świadczona jest usługa a nie ze względu na siedzibę firmy. Eurokomuna chce coś takiego wprowadzić. Oczywiście Google lobbuje przeciwko wprowadzeniu takich uregulowań.
No w Stanach to raczej nie mają szans z względu na większe koszta sądowe. Większy zawsze może więcej.
Czemu przy takich sprawach nikt nie mówi o tym, że IAI Shop nie stosuje żadnej polityki bezpieczeństwa. Nie postara się o wywiad z byłym pracownikiem firmy. I nie przypomni o tym co jeszcze po za programowaniem należało do pracownika firmy :). Do dziś głośnym echem odbija się to wizerunku firmy ?
Dlaczego w artykule nie napisze się o lipnych zabezpieczeniach:
* http://niebezpiecznik.pl/post/iai-shop-nie-hashujemy-hasel-bo-to-sie-nie-oplaca-naszym-klientom-mniejsza-obroty-grozi-stratami/
* http://zaufanatrzeciastrona.pl/post/hasla-klientow-810-sklepow-iai-shop-przesylane-otwartym-tekstem/
*http://zaufanatrzeciastrona.pl/post/setki-sklepow-iai-shop-przypominaja-haslo-otwartym-tekstem/
Jeśli hasła przesyłane są w formie jawnej przez Internet, a firma sama przyznaje się do tego, że nie stosuje mechanizmów zabezpieczających. W dodatku hasła i loginy można łatwo wykraść, a firma nic nie robi sobie z monitów ostrzegających. Dlaczego przeglądarka internetowa ma przed tym nie ostrzegać i nie blokować przejrzanych aktywności, która wygląda jak klasyczny phishing (podszycie się pod stronę internetową w celu wyłudzenia danych)?
Artykuł o wszechmogący google lepiej się sprzedaje ?
„Komentarz w stylu „Dziś nie pozostają żadne wątpliwości, że Google jest absolutnym monopolistą i żadna mała firma nie jest w stanie dojść swoich praw.” jest nie na miejscu”
Oczywiście, że jest na miejscu. Widzisz jakąkolwiek szansę na wygranie przez małą polską firmę procesu w USA w starciu z Google?