Тестируя разные кэшбэк-сервисы, наткнулась на это приложение в Google Play. Приложение весьма любопытное, так что не могу не поделиться с вами своими наблюдениями.
При первом знакомстве ничего особенного, один из многих сервисов кэшбэков.
Устанавливаем, регистрируемся…
И обнаруживаем для начала, что никакой информации об акциях и скидках в магазине приложение не дает. Обман. Акциями здесь называются предложения по конкретным продуктам от самого приложения.
Начинаем изучать, что же здесь предлагают. Выглядит просто обалдеть как шоколадно, аж прям не верится:
14% кэшбэка за покупку груш и винограда, до 12% — за масло Arla Natura и прочее в том же духе.
Воодушевившись цифрами, тыкаем в какое-нибудь предложение и попадаем в его внутренности:
Вот оно что. Базовая ставка кэшбэка в этом, как и в любом другом предложении от Yepy — 1%. С картой лояльности — 2%. И только с подключением операций из банка получится максимальный размер кэшбэка, указанный на главной странице. Подключить все, что возможно, весьма мотивируют условия вывода: минимум 300 рублей. С 1% вы эти 300 рублей несколько лет будете набирать, если подключить карту лояльности — в два раза быстрее, а уж с подключением операций из банка заветные 300 руб. будут накапливаться бодрыми темпами.
Что же подразумевает подключение карт?
Подключив карту лояльности магазина, в котором вы совершаете покупки, вы будете освобождены от необходимости сканировать каждый чек — приложение будет забирать данные с карты само. Удобно — сил нет.
А как оно это делает?
Для подключения карты лояльности необходимо загрузить в приложение все ее данные, включая явки и пароли. Для получения приложением данных нужно ввести одноразовый пароль, который приходит на телефон. Чеки сканировать каждый раз вам не придется, но нужно будет вручную периодически обновлять информацию о покупках, чтобы данные о них получил Yepy. Каждый раз для этого будет запрашиваться одноразовый пароль посредством SMS.
Теперь о подключении операций из банка.
Ввести логин и пароль??
Вас успокаивают:
Банковский уровень безопасности
Все банковские данные, в том числе ваши логины и пароли, обезличены и шифруются по алгоритму SHA 256 (SSL сертификат выдан GeoTrust RSA CA 2018). Компания прошла аудит информационной безопасности в ряде крупнейших банков, с которыми сотрудничает уже на протяжении многих лет.
Никто не сможет перевести деньги
Вы предоставляете приложению исключительно информационный доступ к вашим данным в мобильном банке. Мы не сможем обновлять данные и тем более совершать операции без вашего согласия, так как каждое действие подтверждается одноразовым смс-паролем, который знаете только вы. Мы не имеем доступа к чувствительным данным ваших банковских карт (номер, срок действия, CVV, пин-код), поэтому мы не сможем совершать какие-либо действия по вашей карте.
Никаких персональных данных
Ни сервис, ни сотрудники компании никогда и ни при каких условиях не затребуют в Вас личные персональные данные (ФИО, паспорт, номер мобильного телефона). Вся информация является строго обезличенной, сервис оперирует лишь цифрами, а кому они принадлежат, знаете только вы.
Ну как? Утешили? Меня — нет. На этом моя готовность экспериментировать закончилась, и я снесла приложение к чертям. Вопросов к компании осталось много, например.
> Все данные, загружаемые из банков, в том числе ваши логины и пароли, обезличены и шифруются по алгоритму SHA 256 (SSL сертификат выдан GeoTrust RSA CA 2018)
Для кого и от кого шифруются? От вас? Тогда как же вы ими воспользуетесь?
> Компания прошла аудит информационной безопасности в ряде крупнейших банков, с которыми сотрудничает уже на протяжении многих лет.
Голословное утверждение без каких-либо пруфов.
> Ни сервис, ни сотрудники компании никогда и ни при каких условиях не затребуют в Вас личные персональные данные (ФИО, паспорт, номер мобильного телефона).
Ой ли? Как минимум, номер телефона часто является логином для доступа к картам.
На самом деле понятие SHA 256 ни о чем не говорит рядовому пользователю, не связанному со сферой защиты информации, а если попробовать погуглить, то мы станем счастливыми обладателями знаний о том, что алгоритм хэширования SHA 256 успешно применяется для майнинга криптовалют. Но как нам это поможет понять, что хотело до нас донести Yepy, останется загадкой. Слегка утешили вот эти сведения, но не до конца:
Данный метод преобразования и шифрования используется рекламными системами для сбора и передачи аудитории и данных CRM систем без передачи в открытом виде контактов клиентов.
Даже если мой логин и пароль от личного кабинета используется дли использования данных в обезличенном виде, меня это нисколько не успокаивает, а утверждение о том, что, получив доступ в мой личный кабинет, они, тем не менее, не видят моих личных данных, вызывает, мягко говоря, некоторые сомнения.
И даже тот факт, что воспользоваться моими деньгами или баллами Yepy не cможет, так как для этого нужно подтверждение в виде одноразового SMS-пароля, лично меня не утешает. Деньгами не воспользуется, а личную информацию обо мне соберет по самое не балуй, так что никаким браузерам не снилось.
Кто же они такие, эти Yepy? Ссылка на официальный сайт, указанный в Google Play, мало что даст, однако позволит подробнее ознакомиться с публичной офертой и политикой конфиденциальности. Ссылка «О компании» прелестна: она ведет на такую страницу.
Итак, нам сообщают что это международная компания под названием Level39, зарегистрированная в каком-то бизнес-центре Лондона, занимающаяся непонятно чем…
…и имеющая филиалы в Гонконге, Москве и Ярославле! Я потихоньку начинаю рыдать.
Анализ московского адреса
Варшавское шоссе 17, строение 1, офис 253, 117105, Москва, Россия
тоже ни к чему путному не приводит: Яндекс.Карты говорят, что по этому адресу дофигища организаций, но нет ничего похожего ни на Yepy, ни на Cashoff. Кстати, да, познакомьтесь: из Условий использования мы узнаем, что в лице Yepy имеем дело с Обществом с ограниченной ответственностью «КЭШОФФ» (ОГРН 1137746348299).
Такое действительно есть:
И со-учредителем его является кипрская компания Т.Ф.С. ХАЙ-ТЕК ФАЙНЕНШЛ СЕРВИСИЗ ЛИМИТЕД. Сколько ж там всего намешано со всего мира!
Сходив на сайт cashoff.ru, узнаем, что компания предлагает банкам услугу:
Лояльность клиентов и новые источники прибыли
Повышение приверженности к банковскому бренду с помощью IT-инноваций: программа лояльности с альтернативным финансированием — «Кешбэк клиентам банка от брендов».
И Yepy является одним из его инструментов. Вот кстати о брендах: вы знаете, что это за бренд такой — «Виноград»? Или «Груши»?
На этом же сайте есть FAQ по Yepy, кривой и непонятный до безобразия.
Таким образом, привлекая хомячков большими цифрами кэшбэка, компания выкачивает из них (с их согласия, разумеется, вы же сначала оферту принимаете) данные об их покупках (а я подозреваю, что не только), и потом сливает банкам для аналитики. Чистый маркетинг, и больше ничего. Если бы они делали что-то незаконное, думаю, их давно бы уже в этом уличили, но нет, все у них легально, солидно, официальные группы в соцсетях, интервью, участие в конференциях, награды и все дела.
Однако лично я в этом участвовать не хочу, тем более что не вижу никакой прозрачности в действиях компании: она-то утверждает, что эти данные нужны только для начисления кэшбэка, ничего в правилах и условиях не говорит о том, как она эти данные использует, но обязывает в этих правилах безоговорочно всё принимать и соглашаться. Более того, установив приложение, вы даже доступа к просмотру акций не получите, пока не согласитесь с офертой.
Ну и вишенка на торте. На сайте Cashoff.ru утверждается: «…клиентами компании являются 30+ банков по всему миру», и висит вот такая картинка:
Всего в списке — логотипы 30 банков. Я обратилась в Сбербанк с вопросом, действительно ли Yepy является их партнером, и небезопасно ли сообщать им свой логин-пароль от ЛК. Мне ответили:
указанный Вами сервис не относится к партнёрам ПАО Сбербанка
И тут обман. Предсказуемо, впрочем. И на мое отношение к сервису никак не повлияло, я с ним к моменту получения этого сообщения уже давно рассталась.