Zastonj oglaševanje na Facebooku
Vse, kar zadnje čase beremo o Facebooku, vsa Zuckerbergova opravičevanja, vsi »popravki«, ki jih obljublja, vse to je dimna zavesa. Kajti vse to, o čemer poslušamo, je v resnici del Facebookovega poslovnega modela, vse to je del tega, kar Facebook je. Pa vendar, ali je mogoče, da se jim kdaj kaj zalomi enostavno zato, ker so preveliki? Ker so nerodni? Ker ne zmorejo upravljati milijard uporabnikov in stotin držav z njimi lastnimi predpisi in posebnostmi? Varnostna/finančna vrzel, ki smo jo februarja in marcu odkrili, preizkusili in tudi zaprli pri Monitorju, kaže natančno na to.
Začnimo od začetka. Februarja nas je dosegla novica, da je oglaševanje na Facebooku mogoče plačati kar neposredno s transakcijskega računa podjetja (TRR), in to – s kateregakoli računa! Ker so pri nas računi TRR javno znani (denimo na bizi.si), se to sliši kot tako huda vrzel v varnosti, da enostavno nismo mogli verjeti. Si predstavljate – naročite oglaševanje za svojo poslovno stran na Facebooku, račun za to pa obesite komurkoli. Toda izkazalo se je, da je točno tako!
Ne, tudi jaz nisem pooblaščen za finance v našem matičnem podjetju, zato sem naš račun TRR in ustrezen BIC/SWIFT enostavno naguglal.
Preverjanje, ki ga ni
Kolega, ki nas je obvestil o zadevi, je povedal, da je na Facebooku naročil oglaševanje za stran nekega društva, ki mu pripada, ob poskusu plačila pa je poleg običajnih možnosti kreditnih kartic in Paypala opazil tudi možnost vpisa računa TRR. Za hec je vpisal kar številko TRR svojega društva (za upravljanje katerega seveda nima nikakršnih pooblastil), »naguglal« je še šifro BIC/SWIFT pripadajoče banke, vpisal naslov in v resnici menil, da bo na tej podlagi po koncu oglaševanja prejel račun, ki ga bo treba poravnati. Toda ne, račun je po elektronski pošti resda dobil, toda kot so ga obvestili, je denar z računa društva »izginil kar sam«, kot se je izrazil!
Prosim, kako?!
Saj vendar ni nihče preveril, čigav je ta račun TRR, ali ima uporabnik do njega kakršnekoli pravice, hej, navsezadnje ni nihče preveril, ali je ta uporabnik res tisti, za katerega se izdaja! Saj vendar vsi vemo, da lahko v prijavno okence za Facebook, navsezadnje tudi za (G)mail, vpišemo karkoli, mar ne?
Ali je to možno, prvič!
Ni minila minuta, ko sem se prijavil v svoj račun Facebook in po korakih naredil vse zgoraj zapisano, na Monitorjevi strani Facebook. Za oglaševanje sem izbral eno izmed Monitorjevih objav in za plačilo namesto Paypala, ki ga uporabljamo sicer, uporabil možnost plačila z računom TRR. Ne, tudi jaz nisem pooblaščen za finance v našem matičnem podjetju, zato sem naš račun TRR in ustrezen BIC/SWIFT enostavno naguglal.
Hej, morda je pa mogoče že z mojega naslova IP z malce truda ugotoviti, da sem vse skupaj naredil na računalniku, ki je del omrežja Mladina d.d.? Kar seveda še vedno ne pove nič o finančnem pooblastilu, bi pa povedalo marsikaj o vohunjenju za mano.
Vpisal sem še naš naslov (in se pri tem še malce zatipkal) in – oglaševanje je steklo! Nekaj dni zatem sem po elektronski pošti dobil račun in še nekaj dni kasneje je denar samodejno izginil z računa Mladina d.d., kot me je obvestilo naše računovodstvo. V naši elektronski banki je mirno pisalo, da je naših testnih 5 evrov dobilo podjetje Facebook Ireland, v namenu je pisalo FACEBOOK ADS B433ZQ6W18, enaka šifra je bila tudi v sklicu. Meni nič, tebi nič.
Naše nič hudega sluteče računovodstvo je v elektronski banki zagledalo tole.
Prav, morda vse skupaj ni tako črno, smo pomislili. Nenazadnje sem že dolgo lastnik Facebook računa, ki upravlja Monitorjevo Facebook stran, morda sem nekoč kje, kdo ve kako, potrdil in se dokazal, da sem finančni minister našega podjetja, zato mi kar zaupajo in mi te podatke dovolijo uporabljati. Morda, toda ne, v resnici vem, da ni tako. In, hej, morda se pa da že z mojega IP naslova z malce truda ugotoviti, da sem vse skupaj naredil na računalniku, ki je del omrežja Mladina d.d.? Kar seveda še vedno nič ne pove o finančnem pooblastilu, bi pa povedalo marsikaj o vohunjenju za mano, pa vendar. Recimo, mogoče …
Naguglan TRR, pripadajoči BIC/SWIFT in zatipkan naslov. To je bilo vse, kar smo potrebovali!
Ali je to možno, drugič!
Za natančnejši test, ali je res mogoče lastne finance obesiti komurkoli, sem si zamislil še en test, z bolj laboratorijsko nadzorovanimi spremenljivkami:
- računalnik z Linuxom (ki, mimogrede, že kako leto ni bil v rabi) sem v splet povezal prek telefonske povezave (t. i. »hot spot«);
- z njim sem naredil izmišljen račun na Googlovi elektronski pošti Gmail;
- z elektronsko pošto, ki sem jo s tem dobil, sem odprl izmišljen račun na facebook.com;
- ko me je Facebook v nekem trenutku »iz varnostnih razlogov« vprašal po moji mobilni številki, sem mu ponudil tisto, ki sem jo pol ure prej kupil na bencinski črpalki in me je stala nekaj čez tri evre;
- minuto zatem sem na Facebooku že naredil izmišljeno »prodajalno« ročnih ur in se jo odločil oglaševati ...
- … in, uganili ste, – vpisal sem »naguglan« račun TRR Mladina d.d. z ustreznim BIC/SWIFT, tokrat tistega, ki ga imamo odprtega pri drugi banki.
Za vse skupaj sem potreboval nekaj minut in – oglaševanje je steklo! Če odmislim to, da sem kar takoj dobil nekaj prošenj za prijateljstvo in da je kar nekaj tistih, ki so videli moj oglas, v resnici hotelo kupiti moje »urice« (na tem mestu se jim opravičujem!), je vse teklo kot v prvem primeru. Da, čez nekdaj dni je iz naše druge banke spet »izginilo« 5 evrov (oz., natančneje, 4,82, kdo bi vedel, zakaj).
Res, še bolj dokončen test bi bil, če bi namesto našega računa Facebooku ponudili TRR nekega drugega podjetja, a na napačni strani zakona vendarle nočemo biti.
Izmišljeni Miha Paparaz je za oglaševanje izmišljene »trgovine« Urice, ki to ni, porabil 4,82 evra denarja podjetja, ki ga je naguglal v spletu. Lepo, ne?
Kaj pravijo banke?
Komunikacija z bankama, ki sta nam de facto »trgali« denar in ga nakazali Facebooku, je bila, milo rečeno, zabavna, prepustili pa smo jo naši računovodski službi. Na vprašanje, kako je mogoče, da je bil odliv narejen mimo edinega, ki ima v podjetju pristojnost plačevati z računa TRR (dostop do elektronske banke), je iz prve banke prišel tak odgovor:
»Pozdravljeni,
V zvezi z bremenitvijo vašega računa v znesku 4,82 EUR z dne 16.03.2018 vam sporočam, da je bil sklenjen nekakšen dogovor (poslovno sodelovanje) z nekom iz Mladina d.d. in firmo Facebook Ireland LTD.
Kakršnekoli dokumentacije v zvezi s tem v banki nimamo.«
Prosim? Banka meni, da je bil sklenjen »nekakšen dogovor«, dokumentacije nima, nakazala pa je vseeno? Ali se tu res pogovarjamo o bankah?
Privzeta anonimnost
Ob anonimnem preizkušanju za potrebe tega članka me je v resnici še najbolj presenetila – anonimnost. Lahkotnost anonimnosti, ki jo za prijavo v tako pomembne storitve, kot je elektronska pošta ali Facebook, dopuščajo ponudniki storitev. Če lahko ponudnike elektronske pošte še razumem, je nepreverjanje podatkov kot pri Facebooku najmanj vsaj čudno. Storitev, ki v pogojih rabe zahteva, da se moraš vanjo prijaviti s svojim imenom in ki prepoveduje uporabo manjšim od 13 let (mimogrede, starostno omejitev ima, denimo, tudi Gmail), v resnici ne naredi prav ničesar, da bi ta pravila tudi tehnično uveljavil:
- Če želite biti Abdalla Igwe iz Zimbabveja, stari 83 let, vam Facebook tega ne bo preprečil.
- Ravno tako vam ne bo preprečil oglaševati, da imate trgovino z urami, četudi je že iz letala vidno, da to v resnici ni trgovina, temveč le stran s fotografijo ročne ure, ukradeno iz spleta.
Opazil pa sem še nekaj – velika večina uporabnikov Facebooka vas bo v nekaj minutah potrdila za prijatelja in vam s tem dala dostop do svojega digitalnega življenja. Toda to je že druga zgodba.
Četudi je že iz letala vidno, da to ni trgovina z urami, si Facebook ne pusti odvzeti možnosti zaslužka z oglaševanjem.
No, ni bilo prav dolgo, ko je nekdo na banki (malce napačno) povezal vse nitke in »ugotovil«, da gre očitno za raziskovalne novinarje pri reviji Mladina, ki imajo za bregom nekaj o Facebooku. V uredništvu Mladine je zazvonil telefon in na koncu so ga prevezali do mene. Iz pogovora je velo presenečenje nad dogajanjem, opravičevanje nad prvotnim odgovorom in zagotovilo, da bo uradni ugovor na plačilo stvar postavil na svoje mesto, denar bomo dobili nazaj.
Točno tak je bil tudi uradni odgovor iz druge banke – podajte uradni odgovor in vse bo OK.
In, kar se denarja tiče, je tudi res bilo – 5 evrov je Bank of America v imenu Facebook Ireland Ltd. nakazala v manj kot 24 urah.
Po uradnem ugovoru na banki smo denar v manj kot 24 urah dobili nazaj. Sistem SEPA Direct Debit tak ugovor dovoljuje do 8 tednov.
Kaj pravi Facebook?
Facebook na svoji straneh za oglaševanje pravi, da gre v tem primeru za sistem plačevanja SEPA Direct Debit (pri nas se mu reče direktna obremenitev SEPA) in da bodo vsak račun TRR v desetih dneh ustrezno preverili, nato pa denar »trgali«, oz. si ga bodo banke izterjale med seboj.
Za obrazcem očitno ni stala nekakšna umetna inteligenca, s katero se pri Facebooku tako radi pohvalijo, temveč človek. Ko smo nekaj dni kasneje zgornji preizkus poskusili ponoviti, ni več deloval!
Seveda smo kot zavedni državljani sveta Facebook obvestili da – ne, računa TRR prav nič ne preverjajo! Kar v resnici ni bilo lahko – zagotovo smo porabili več kot pol ure, da smo v množici strani in podstrani našli približno ustrezen obrazec, od katerega smo na koncu dobili lakoničen odgovor tipa »hvala za vaše obvestilo«.
Pojasnilo banke NLB, ki v incident sicer ni bila vključena
Izvajanje storitve direktne obremenitve SEPA (SDD) temelji na strinjanju plačnika, da lahko banka obremeni njegov račun, ko ta dobi plačilni nalog s strani prejemnika plačila (v tem primeru Facebook). Strinjanje s takšno storitvijo plačnik uredi s podpisom soglasja za izvajanje SDD, in sicer je to v domeni med plačnikom in prejemnikom plačila (tj. med plačnikom in Facebookom). Naloga prejemnika plačila je, da opravi identifikacijo stranke (preveri tudi, ali je račun, ki ga je plačnik navedel, res njen). Celoten postopek izmenjave informacij in ureditev soglasij poteka mimo bank, kar je skladno s postopki plačilne sheme SEPA SDD CORE na celotnem območju SEPA.
V navedenem primeru je prišlo do tega, da prejemnik plačila (Facebook) ni izvajal te identifikacije stranke-plačnika, kar bi po že omenjeni shemi moral.
Ob prejemu SDD se v NLB izvedejo kontrole glede pravilnosti podatkov, pri čemer se preverja tudi tabela Zlorab (v tej tabeli so navedene družbe, pri katerih je/so bile ugotovljene nepravilnosti). V okviru teh kontrol NLB ne more preverjati podatkov iz soglasja, saj tega preprosto nima.
Za vse SDD lahko plačnik v NLB (tako podjetje ali potrošnik) zahteva omejitev za izvajanje SDD (ali v celoti za vse SDD, ali za določenega prejemnika, ali nad določenim zneskom …). To pomeni, da se v tem primeru SDD ustavi in zahteva ročni pregled. Pred samo izvedbo SDD ima plačnik možnost, da SDD prekliče, ta se v tem primeru ne bo izvedla. Tudi po že sami izvedbi ima plačnik možnost, da odda zahtevek za povračilo sredstev, in sicer v roku 8 tednov od izvedene SDD. Sredstva nato dobi vrnjena avtomatsko. Ugovor na izvršitev SDD lahko poda plačnik tudi v roku 13 mesecev od izvršitve SDD (v tem primeru se izvedejo tudi kontrole na dano soglasje).
Toda – za tem obrazcem očitno ni stala nekakšna umetna inteligenca, s katero se pri Facebooku tako radi pohvalijo, temveč človek. Ko smo nekaj dni kasneje zgornji preizkus poskusili ponoviti, ni več deloval! »Naguglani« račun TRR (tokrat od nekega prijateljskega podjetja) nam je sicer uspelo vpisati, oglaševanja pa nismo mogli več sprožiti, saj smo bili opozorjeni, da je naš oglaševalski račun zaradi »sumljivih« dejanj blokiran. Če bi ga želeli znova odpreti, bi morali skozi precej podroben vprašalnik, ki vključuje pošiljanje fotografij osebne izkaznice, kar je v resnici tista preverba, ki bi se morala zgodti že na začetku. Skratka, sistem preverbe po našem obvestilu očitno spet deluje! Kar je prav.
Varnostna razpoka je po našem posredovanju zaprta – Facebook ob izbiri plačevanja z računom TRR zahteva marsikaj, tudi fotografijo z osebne izkaznice.
In kaj še pravi Facebook? Takoj, ko smo od banke dobili nazaj svojih 5 evrov, smo v aplikaciji Facebook dobili celostransko obvestilo, naj se takih prijemov bančne izterjave ne lotevamo več. »Zaenkrat naj nam bo, v drugo pa se lahko zgodi, da nam ne bodo več pustili oglaševati«, so še zapisali …
»Ne počnite tega doma«, lahko vam zaprejo pot do oglaševalskih nebes … A zaenkrat naj nam bo.
Je Facebook morda zloben, mu je nemara celo vseeno? Morda, toda najverjetneje ne. Vsaj ne v tej finančni brozgi, ki si jo je privoščil. Osebno menim, da le »nekdo« ni vklopil ustrezne povezave za preverjanje lastništva nad računom. Še posebej pa ni pomislil, da so v neki majhni Sloveniji računi TRR javno dostopni.
V čem je dejansko težava?
Priznam, pri Monitorju nismo bančniki, smo se pa pri pripravi tega članka pogovarjali z njimi. In pod črto menimo, da je osnovna težava v resnici obstoj sistema (SEPA Direct Debit), ki omogoča, da je izplačilo nekega zneska z nekega računa plod zaupanja nekemu podjetju, v tem primeru pač Faceboku. Kot nam je v pogovoru povedal eden izmed bančnikov:
Sistem »na zaupanje« je še bolj problematičen v Sloveniji, kjer so računi TRR javno dostopni v spletu. Niso namreč povsod.
»Za nas je nalog neke banke po izplačilu natanko to – nalog. Ko ga dobimo, izvedemo nakazilo, naloga naročnika (v tem primeru Facebooka) pa je, da preveri, ali je tak nalog upravičen«.
Oz. kot navaja tudi banka NLB, ki smo jo za komentar v tej zvezi povprašali naknadno:
»Strinjanje s takšno storitvijo plačnik uredi s podpisom soglasja za izvajanje SDD, in sicer je to v domeni med plačnikom in prejemnikom plačila (tj. med plačnikom in Facebookom).«
Če torej prejemnik plačila (Facebook) tega ni naredil … – nič hudega, banka za to ni kriva. Hej, saj lahko tak denar, če je bil z vašega računa neupravičeno trgan, tako ali tako dobite nazaj.
Takoj ko smo od banke dobili nazaj svojih 5 evrov, smo v aplikaciji Facebook dobili celostransko obvestilo, naj se takih prijemov bančne izterjave ne lotevamo več. »Zaenkrat naj nam bo, v drugo pa se lahko zgodi, da nam ne bodo več pustili oglaševati«, so še zapisali …
Razen seveda, če ste majhno podjetje, morda s.p., in takih majhnih zneskov niti ne opazite, dokler ni prepozno. Ali pa jih opazite in si mislite »ah, Facebook, ja, tam pa menda res nekaj imamo, očitno so nastali nekakšni stroški«.
Tak sistem »na zaupanje« je še bolj problematičen v Sloveniji, kjer so, kot rečeno, računi TRR javno dostopni v spletu. Niso namreč povsod, v Veliki Britaniji, kjer smo brskali, niso. Pa tudi če ne bi bili – številka računa TRR je pač javno zapisana na bolj ali manj vsakem računu, le malce več dela bi bilo s takim papirnim zbiranjem, kot je z brskanjem po spletu.