9 stycznia 2015

Pyrrusowe zwycięstwo IAI w sporze z Google Poland w sprawie o pomówienie o Phishing

12 grudnia 2014 r. uprawomocni się wyrok w sprawie jaką IAI S.A. wytoczyło Google Poland sp. z o.o. próbując oczyścić swoją reputację, po tym jak na skutek błędnego działania mechanizm Google Websafe Browsing zablokował na kilka dni ruch do strony internetowej spółki i tysięcy obsługiwanych przez nią sklepów. IAI S.A. mimo iż sprawę przegrała, oczyściła swoje imię. Wyrok sądowy jednoznacznie wskazuje, że IAI S.A. nie wyłudzała danych i padła ofiarą pomówienia. A Google Polska sp. z o.o. ratuje jedynie korporacyjny zabieg i wadliwe prawo, które mimo iż właścicielem spółki jest Google Inc. i reprezentuje ona interesy giganta w Polsce, za nic nie odpowiada. IAI S.A. tym samym odnosi „Pyrrusowe zwycięstwo”. Ukazuje też poważny problem z gigantem internetu, który z racji swoich powiązań i rozmiarów decyduje o życiu i śmierci firm, robiąc to zupełnie bezkarnie. Może nawet wpływać na losy np. wyborów prezydenckich czy parlamentarnych.

Geneza sprawy

IAI S.A. jest świetnie rozpoznawaną w polskim e-commerce marką, istniejącą nieprzerwanie od roku 2000. Od roku 2009 jesteśmy spółką publiczną, notowaną na giełdzie NewConnect. Odpowiadamy za obsługę techniczną poprzez system IAI-Shop.com, około 15% sklepów (2500) internetowych i co dziesiątej złotówki wydawanej w polskim e-commerce (w roku 2013 prawie 2,5 miliarda złotych). Od początku stawialiśmy na wiarygodność i zaufanie partnerów biznesowych czyli sklepów internetowych i ich klientów. Zdobyliśmy dzięki temu szereg nagród gospodarczych.

Nie przeszkadzało to jednak temu, aby przez kilka dni w styczniu 2012 r., niemal wszystkie przeglądarki internetowe, bez względu na sposób trafienia na strony internetowe IAI lub jej klientów pokazywały komunikat odstraszający od dalszego przeglądania strony i informując o przestępstwie jakim jest Phishing, czyli prowadzenie stron internetowych tylko w celu wykradania danych klientów, ich loginów, numerów kart kredytowych itp. Co wymaga podkreślenia, komunikat taki pojawiał się nawet gdy użytkownik nie chciał mieć nic wspólnego z produktami Google, czyli używał np. przeglądarki internetowej Safari, na systemie operacyjnym Windows i wpisywał adres internetowy np. z papierowej ulotki którą otrzymał na targach.

Pic. 1 - Komunikat w przeglądarce Chrome podczas blokady

Kiedy klient sklepu internetowego widzi tego rodzaju informację, opuszcza stronę, dziękując za przestrogę. Co ważne, mechanizm stojący za ostrzeżeniem jest domyślnie włączony podczas instalacji praktycznie każdej przeglądarki internetowej, a zarówno możliwość jego wyłączenia jak i ominięcia komunikatu wymaga zaawansowanej wiedzy technicznej. To z tego powodu, tysiące sklepów internetowych podczas przeglądania strony internetowej notują ponad 80% spadek odwiedzin. Obrony przed tym problemem nie ma, ponieważ aby wyświetlić na stronie jakikolwiek komentarz, najpierw klient musi przejść przez komunikat. Nawet w przypadku wysłania newslettera, wiele systemów newsletterowych rozpoznając domenę jako wyłudzającą dane, odrzuci taki newsletter. A gdy nawet e-mail dotrze do odbiorcy, musi on odkryć jakimś sposobem jak ominąć ten komunikat. Dobrym przykładem skali cenzury jest to, że w czasie nałożenia blokady nie wyświetlały się sklepom internetowym nawet aukcje dodane na Allegro czy eBay.
Większość klientów IAI w początkowej fazie wini IAI za powstanie tego błędu. Najczęściej wskazywane są jako przyczyny: atak hakerski lub nielegalne praktyki przy pozycjonowaniu stron internetowych. Jak zawsze wyroki padają szybko, podobnie jak szybko i gwałtownie powstał problem. Dla ekipy IAI 6 stycznia 2012 r. mimo iż dla większości Polaków jest dniem wolnym, zapisze się jako najbardziej nerwowy i pracowity dzień w historii. Dzień w którym polska, prężna i etyczna spółka otarła się o poważny kryzys reputacji, prawie śmierć.

Kto ponosi winę za fałszywe oskarżenie?

Firma Google kojarzy się konsumentom raczej pozytywnie. Z jej wyszukiwarki internetowej korzystamy chętnie i za darmo. Na ewentualne zarzuty względem Google reagujemy biernością, przyjmując że przecież jeżeli ktoś nie chce korzystać z wyszukiwarki Google, nic bardziej prostego – wystarczy wybrać inną.

Jednak mało kto zdaje sobie sprawę z tego, że Google to nie tylko wyszukiwarka internetowa. To także np. Mechanizm Google Websafe Browsing (GWB), czyli centralna baza, w której Google oznacza arbitralnie i bez żadnej kontroli strony internetowe jako bezpieczne i niebezpieczne. Google nie prowadzi tego rejestru na czyjąkolwiek prośbę, nie ma możliwości zapisać się tam lub wypisać się z tego, nie jest to rejestr typu Trusted Shops, gdzie strony są audytowane na ich prośbę. Mechanizm ten nie podlega żadnej kontroli instytucji państwowych, a jego działanie owiane jest tajemnicą. Jedyna publikacja dostępna co do zasad jego działania1 dostarcza więcej pytań niż odpowiedzi. Do materiałów został dodany artykuł naukowy „Large-Scale Automatic Classification of Phishing Pages”, który jest jedynym tekstem jaki został opublikowany na temat jego działania i jedyne co pokazuje to, że mechanizm ten jest bardzo enigmatyczny i nie stoi za nim żadna większa logika, poza ręcznym sterowaniem (weryfikacją). Wyjaśnia ona, że każda strona stosująca formularz logowania i JavaScript, czyli około 80% stron jest podejrzanych o wyłudzanie danych. Decyzję co do tego czy strona wyłudza dane, podejmują pracownicy Google. Mechanizm GWB jest więc wysoce zawodny, o czym wie nawet samo Google, które w warunkach użytkowania go dla producentów przeglądarek stwierdza, że mechanizm ten nie może być włączony domyślnie przy instalacji, a w przypadku wyświetlania ostrzeżenia należy umieścić komunikat w formie domniemanej, po to aby nie zrujnować komuś reputacji. To ta dobra, deklarowana strona Google wpisująca się w hasło „don't be evil”.

W praktyce jednak samo Google, producent Chrome, najpopularniejszej przeglądarki WWW nie stosuje się do swoich własnych poleceń, i mechanizm ten włącza każdemu kto wybiera jej przeglądarkę. Dodatkowo treści komunikatów nie mają formy domniemanej, tylko dużo ostrzejszą w wyrazie treść, niż samo Google poleca innym. Z niezrozumiałych dla nas powodów, robią w ślad za nim dokładnie to samo producenci innych przeglądarek. Jedynie Microsoft nie korzysta z takiej formy cenzury internetu, chociaż popularne programy antywirusowe na Windows już biorą to pod uwagę, nawet w przypadku korzystania z Internet Explorera, domyślnej przeglądarki na system Windows.

Przed wprowadzeniem blokady dostępu, Google nie ostrzega autorów stron internetowych. Blokada może być włączona natychmiastowo i usunięta w bliżej nieokreślonym terminie, po zgłoszeniu formularza „zgłoszenia nieprawidłowego ostrzeżenia o Phishingu”. Sprawy o zgłoszenia załatwiane są anonimowo, bez numeru sprawy, wiążącego terminu ich rozpatrzenia itp. Stosunek beztroski w takich sprawach doskonale ilustruje poniższy zrzut ekranowy i jego pogardliwa wymowa. Prezentuje on to co widzieli pracownicy IAI gdy zgłaszali problem do Google, w momencie gdy tysiące polskich firm ponosiło ogromne straty finansowe i wizerunkowe.

Pic. 2 - Lekceważący komunikat podczas zgłoszenia błędu mechanizmu Google Websafe Browsing

Odpowiedzialność Google

Zgodnie z prawem posądzenie kogoś o przestępstwo jest czynem karalnym. Firma, która dopuści się takiego czynu, musi naprawić wyrządzone przez siebie szkody oraz, zwyczajnie po ludzku, przeprosić poszkodowanych. Takie zasady obowiązują w Polsce i Europie. Nie obowiązują jednak Google, mimo iż firma w Polsce jest liderem, posiada oddział w postaci spółki Google Poland sp. z o.o. Google posiada nawet centra badawczo-rozwojowe, na stworzenie których złożyli się polscy podatnicy (w tym firmy takie jak IAI S.A.). Firmy te jednak nie odpowiadają w żaden sposób za działalność produktów, które sprzedają. Nie posiadają żadnych zawartych umów licencyjnych, a w toku spraw sądowych są przedstawiane jedynie jako ubogie agencje reklamowe, wykonujące czynności marketingowe. Struktura korporacyjna Google zakłada, że jedynie Google Inc. w USA, pod jurysdykcją USA może podlegać sporom podmiotów, które w Polsce, w wyszukiwarce lokalnej, zostaną nazwane złodziejami, popełniającymi przestępstwo. Tezę tą potwierdza wyrok z 14 października 2014 r. w sprawie IAI S.A. przeciwko Google Poland sp. z o.o.

W toku rozprawy, powołano biegłego sądowego, który uzyskał dostęp do pełnego kodu źródłowego systemu IAI-Shop.com i stron firmowej www.iai-shop.com i stwierdził on, że IAI S.A. nie popełniła Phishingu. Jedyne wątpliwości biegłego dotyczyły stosowania innej domeny do logowania po SSL, który to mechanizm jak zostało dodane przez IAI S.A. jest stosowany powszechnie, również przez samo Google, które stosuje domenę accounts.google.com do logowania kont. Zresztą biegły sądowy potwierdził to co twierdziło w dniu blokady samo Google, czyli jej skanery pokazujące stwierdzone problemy podawały wprost, że dla domeny www.iai-shop.com i innych skanowanych, nie wystąpiły żadne problemy z bezpieczeństwem w tym phishingiem:

Wynik skanowania Google Websafe Browsing dla domeny www.iai-shop.com którą mechanizm blokował z powo

Jak dużą władzę posiada Google nad europejskim internetem?

Aby zdać sobie sprawę z tego, jak wielką władzę nad użytkownikami internetu w Europie posiada aktualnie Google, należy zrozumieć, że przeglądarki, które stosują GWB generują ponad 90% ruchu internetowego. Prawie 100% użytkowników posiada domyślnie włączony mechanizm ten włączony. Aby go wyłączyć trzeba odszukać w ustawieniach dotyczących prywatności opcję „Włącz ochronę przeciw wyłudzaniu stron i złośliwemu oprogramowaniu”, czego większość użytkowników, poza specami od bezpieczeństwa nie zrobi.

Pic. 3 - Domyślne ustawienia w Chrome w zakresie możliwości wyłączenia Google Websafe Browsing

Wyobraź więc sobie sytuację, że podczas najbliższych wyborów do parlamentu europejskiego, Google użyje tego mechanizmu do zablokowania stron internetowych ugrupowań, które nie będą dla niego wygodne. Co się stanie? Ponad 90% użytkowników, którzy będą chcieli zapoznać się np. z programem wyborczym tej partii, nie wejdzie na stronę i ugrupowanie to przegra wybory. Internet stał się podstawowym mechanizmem udostępniania informacji. Ale informacje te nie mogą być pobrane bez użycia przeglądarek WWW. Mechanizm GWB steruje natomiast wbudowaną w nie cenzurą.

Google dzięki mechanizmowi GWB może doprowadzić do upadku niewygodne dla niego firmy, umacniając swoją pozycję. IAI S.A. udało się sądownie nakazać już w lipcu roku 2012 zdjęcie blokady GWB. A dzięki posiadaniu dobrej reputacji, rozpoznawalnej marki i licznym publikacjom prasowym, i rezerwom gotówki, które mogły by być użyte w sporze z Google Inc. w USA blokada ta nie zostanie prawdopodobnie nigdy więcej wprowadzona.

Sprawa ta jest jednak bardzo istotna z punktu widzenia toczącego się sporu o podziale i odpowiedzialności Google w Europie. Nie wyobrażamy sobie bowiem przyszłości europejskiego internetu, bez ustanowienia kontroli nad mechanizmami takimi jak Google Websafe Browsing, wbudowanym mechanizmami cenzury w przeglądarkach WWW i wprowadzenia odpowiedzialności europejskich oddziałów Google za te produkty, w szczególności gdy popełniane jest przestępstwo.

Ciąg dalszy sprawy

IAI S.A. nie zdecydowało się wnieść apelacji od wyroku. Powodem jest uzasadnienie pisemne wyroku, stanowiące, że IAI S.A. powinna wykazać niezbity związek powiązań pomiędzy Google Poland sp. z o.o. i Google Inc. Jedyną kwestią jaką mógł ustalić biegły bez zbadania powiązań np. w postaci korespondencji pomiędzy pracownikami Google czy ich systemu, było sprawdzenie adresu IP i bazy WHOIS zawierającej deklarowany podmiot stojący za wykorzystaniem adresu IP. W efekcie ciężar dowodowy z uwagi na proces cywilny powiązań musi spoczywać na stronie powodowej. Bez dostępu do dokumentacji Google Poland sp. z o.o., mechanizmów Google i przesyłanych korespondencji, nikt poza organami państwowymi takiego związku nie może ustalić. Dla sądu ścisłe powiązania kapitałowe, w których właścicielem 100% udziałów Google Poland sp. z o.o. jest Google Inc. nie jest wystarczającym dowodem i według sędziego jest normalnym przywilejem wynikającym z przepisów prawa o spółkach z ograniczoną odpowiedzialnością.

W tej sytuacji Zarząd IAI S.A. uzyskując dzięki ekspertyzie biegłego sądowego i zawartej w wyroku sądowym potwierdzeniu sędziego, że IAI nie wyłudzało danych i nie popełniło błędu, a padła ofiarą pomyłki Google, uważa że reputacja IAI została oczyszczona. Nie zdecydowaliśmy się wnieść apelacji, gdyż samodzielnie, bez wsparcia organów władzy, nie jesteśmy w stanie takiego powiązania wykazać. Warto jednak zwrócić uwagę na dualizm i obłudę. Polskie władze uznają, że w Polsce inwestuje Google, że Google ma w Polsce oddział, że Google ma w Polsce laboratoria badawczo-rozwojowe i otworzy kampus. Wreszcie władze Polski wspierają na wszelki możliwy sposób, szczególnie promocyjnie, PR-owo a nawet przeznaczając wielomilionowe dotacje z budżetu państwa Google Poland (Przykład informacji prasowej na temat takiej dotacji można znaleźć na http://www.biznes-firma.pl/jest-wsparcie-dla-inwestycji-google-w-polsce/12413). Te inwestycje, pokrywane z podatków firm takich jak IAI S.A. i jednocześnie brak prawnego obowiązku ponoszenia konsekwencji złych działań przez te podmioty, pozbawia polskie firmy możliwości jakiejkolwiek obrony, nawet gdy popełniane jest przestępstwo. Jedyną szansą na zadośćuczynienie jest walka sądowa, kosztująca miliony we wrogim systemie prawnym, wspierającym przede wszystkim amerykańskie firmy w ich własnym kraju.

Warto to wszystko mieć na uwadze, w czasie gdy toczy się europejska dyskusja nad podziałem i monopolem Google. Taki podział IAI S.A. będzie wszelkimi możliwymi środkami wspierać, o ile możliwe będzie dochodzenie zgodnie z prawem europejskim i przed europejskimi sądami, sprawiedliwości gdy firma Google złamie prawo.

Publikujemy wszystkie materiały w tym opinię Biegłego sądowego

Ponieważ w IAI nie mamy nic do ukrycia, a w przypadku relacji z klientami dbamy o najwyższe możliwe standardy bezpieczeństwa i transparentności, zdecydowaliśmy się na publikację wszystkich materiałów w sprawie, w szczególności opinii biegłego który badał kody źródłowe IAI-Shop.com i nie znalazł powodu do uznania stron IAI za wyłudzające dane, czy stosujące niebezpieczne mechanizmy. Jest to bezwzględny dowód tego, że IAI S.A. to partner wiarygodny, dbający o bezpieczeństwo tworzonych przez siebie systemów. Materiał biegłego jest zresztą ciekawym źródłem do dalszych analiz prasy branżowej. Dlatego wierzymy, że opublikowane materiały przyczynią się do większej świadomości w zagrożeniach płynących z działalności Google Websafe Browsing, braku terytorialności usług potentata i praktyki w stosowaniu względem swoich produktów swoich własnych zasad.