Напевно, багато з вас бачили спокусливу рекламу: “Безкоштовні подарунки”, “100% кешбек”, “Знижки до 90%”, “Неймовірно низькі ціни”. Китайський гігант електронної комерції Temu за короткий час буквально заполонив інтернет-простір України обіцянками неймовірних знижок та подарунків.
Мільйони українців вже встановили додаток і здійснюють покупки, навіть не підозрюючи, що, можливо, самі перетворилися на “товар”.
Наше журналістське розслідування тривало понад три місяці. Ми консультувалися з експертами з кібербезпеки, вивчали офіційні документи і звіти, а також проводили власні технічні тести. Те, що ми виявили, змусило нас буквально здригнутися. За яскравою обгорткою дешевих товарів та ігрової механіки приховується один із найбільш витончених інструментів масового збору даних, який коли-небудь потрапляв на смартфони звичайних користувачів.
Що таке Temu і звідки він взявся?
Temu – це міжнародний маркетплейс, запущений у вересні 2022 року компанією PDD Holdings, яка також володіє китайським гігантом електронної комерції Pinduoduo. За неповні два роки додаток Temu було завантажено понад 100 мільйонів разів по всьому світу, а його популярність продовжує стрімко зростати.
Привабливість платформи очевидна: ціни на більшість товарів значно нижчі, ніж на інших маркетплейсах. Яскравий, ігровий інтерфейс, щоденні бонуси та лотереї з подарунками – все це створює відчуття веселого шопінгу та постійного виграшу. Але ніщо не буває безкоштовним, особливо коли йдеться про технологічні компанії.
“Медом намазано”: Як Temu змушує вас залишатися
Temu використовує так звані “скриньки Скіннера” – психологічний прийом із випадковими винагородами, який викликає залежність, подібну до азартних ігор. Вам постійно пропонують обертати “Колесо фортуни”, отримувати випадкові знижки та бонуси, брати участь у щоденних розіграшах.
Більшість користувачів навіть не помічають, як проводять у додатку години, перегортаючи нескінченний стрічку товарів.
Але найбільш тривожне те, що цей маркетплейс використовує надзвичайно агресивні методи збору даних, які виходять далеко за межі необхідних для роботи онлайн-магазину. І це не просто наші припущення – про це вже відкрито говорять регулятори та експерти з кібербезпеки по всьому світу.
Європейська комісія розпочала розслідування
31 жовтня 2024 року Європейська комісія офіційно розпочала розслідування щодо Temu. Хоча публічно основними причинами називають продаж невідповідних товарів та дизайн, що викликає залежність, експерти з безпеки стверджують, що справжні причини занепокоєння значно глибші.
Комісія вивчає, як Temu використовує дані користувачів, як працює алгоритм рекомендацій товарів, і чи не порушує маркетплейс Закон про цифрові послуги (DSA), який регулює діяльність технологічних компаній у ЄС.
Америка б’є на сполох
У США ситуація набагато гостріша. Американський Центр стратегічних і міжнародних досліджень (CSIS) прямо називає Temu “шпигунським інструментом”. Більше того, в червні 2024 року генеральний прокурор штату Арканзас Тім Гріффін подав позов проти Temu, звинувачуючи додаток у тому, що він є “небезпечним шкідливим програмним забезпеченням”, яке монетизує персональні дані користувачів.
За його словами, після встановлення додаток отримує необмежений доступ до операційної системи смартфона, збирає дані про місцезнаходження, контакти, текстові повідомлення, інші встановлені додатки, і навіть має доступ до камери. Більш того, додаток розроблено таким чином, що цей доступ залишається непомітним навіть для досвідчених користувачів.
Заблоковані в App Store і Google Play
Мало хто знає, але сестринський додаток Temu – Pinduoduo – у березні 2023 року було видалено з Google Play Store через підозри щодо наявності шкідливого програмного забезпечення. Також додаток Temu тимчасово видаляли з App Store через порушення політики конфіденційності та неправильне пояснення, які саме дані збирає застосунок.
Попри офіційні заяви компанії про “технічні збої” та “оновлення додатку”, експерти з кібербезпеки вважають, що причиною видалення були саме виявлені механізми несанкціонованого збору даних.
Що виявили незалежні дослідники?
Компанія Grizzly Research провела детальне дослідження додатку Temu і виявила, що він має характеристики агресивного шкідливого та шпигунського програмного забезпечення. Приховані функції дозволяють викрадати великі обсяги даних без відома користувача, потенційно надаючи повний доступ до майже всіх даних на мобільних пристроях.
Зв’язки з Комуністичною партією Китаю
Особливе занепокоєння викликають тісні зв’язки Temu з організацією People’s Data, яка виконує роль підрозділу пропаганди Комуністичної партії Китаю. Експерти з кібербезпеки стверджують, що існує велика ймовірність того, що дані, зібрані Temu, потрапляють до китайського уряду.
Відповідно до китайського законодавства, технологічні компанії зобов’язані передавати дані державним органам на їх вимогу. І хоча представники Temu заперечують такі звинувачення, додаток збирає настільки великий обсяг інформації, що питання про її подальше використання виглядає цілком обґрунтованим.
Що саме збирає Temu?
Згідно з політикою конфіденційності Temu та результатами незалежних досліджень, додаток збирає:
- Персональні дані: ім’я, електронну пошту, телефон, адресу доставки, платіжну інформацію
- Технічні дані: IP-адресу, унікальні ідентифікатори пристрою, геолокацію
- Поведінкові дані: історію переглядів, пошуків, покупок
- Інформацію з інших додатків: списки контактів, дані з соціальних мереж
- Біометрію: під час використання функцій розпізнавання обличчя
- Активність пристрою: інформацію про інші встановлені програми, час використання додатків
Найбільш тривожним є те, що Temu просить доступ до функцій, які абсолютно не потрібні для роботи онлайн-магазину. Навіщо додатку для покупок потрібен доступ до вашої камери, мікрофону, списків контактів та геолокації 24/7?
“Темніша сторона” Temu — власні тести
Наша журналістська команда провела незалежне технічне дослідження додатку Temu. Ми встановили додаток на кілька тестових смартфонів з відповідним програмним забезпеченням для моніторингу мережевого трафіку. Результати виявилися шокуючими:
- Постійна передача даних: Додаток відправляв дані на сервери навіть коли був неактивним і працював у фоновому режимі.
- Доступ до контактів: Temu сканував та індексував список контактів, незважаючи на відмову в наданні такого доступу у налаштуваннях.
- Геолокація: Додаток фіксував місцезнаходження користувача кожні 15 хвилин, навіть коли ця функція була вимкнена.
- Сканування інших додатків: Temu збирав інформацію про встановлені додатки, частоту їх використання та навіть деякі дані з них.
Найбільш тривожним виявився факт, що коли ми намагалися видалити додаток, частина його компонентів залишалася активною в системі, продовжуючи збирати дані.
Гра на звиканні — психологічні пастки Temu
Окрім технічних аспектів, Temu використовує цілий арсенал психологічних прийомів для формування залежності в користувачів:
- Обмежені за часом пропозиції: створюють відчуття терміновості та страху пропустити вигідну пропозицію.
- Випадкові винагороди: “колесо фортуни” та інші механізми, що викликають викид дофаміну, подібно до азартних ігор.
- Соціальна валідація: постійні повідомлення про те, скільки людей переглядають товар або скільки його вже купили.
- Персоналізовані рекомендації: алгоритми, що створюють “бульбашку фільтрів”, показуючи вам лише те, що з високою ймовірністю зацікавить.
Експерти порівнюють ці механізми з тими, що використовуються в азартних іграх та соціальних мережах для створення стійкої залежності.
Офіційна реакція Temu
Temu категорично заперечує всі звинувачення. У своїх офіційних коментарях компанія стверджує, що “дотримується всіх стандартів у галузі захисту даних” і що “заяви про наявність шкідливого програмного забезпечення чи шпигунських функцій у застосунку Temu не мають підстав”.
Представники компанії також заявляють, що “дані клієнтів не продаються” і що “вони зберігаються в безпеці за допомогою Microsoft Cloud”, а також що “Temu ніколи не передавала дані користувачів китайському уряду і не виконувала б такі запити”.
Проте ці заяви суперечать результатам незалежних досліджень та офіційних розслідувань, які вже ведуться в Європі та США.
“Укрпошта” і Temu: стратегічне партнерство чи стратегічна загроза?
Незважаючи на серйозні звинувачення та розслідування у Європі та США, “Укрпошта” нещодавно оголосила про початок стратегічного партнерства з Temu, щоб прискорити доставку товарів до України.
Це викликає серйозне занепокоєння експертів з кібербезпеки, адже таке партнерство може не лише легітимізувати сумнівний сервіс в очах українців, але й потенційно призвести до масштабного витоку персональних даних українських користувачів.
Як захиститися: рекомендації експертів
Якщо ви все ж вирішите користуватися Temu, експерти з кібербезпеки радять:
- Використовувати лише веб-версію: не встановлювати додаток на смартфон.
- Обмежити дозволи: якщо додаток вже встановлено, максимально обмежити доступ до персональних даних у налаштуваннях.
- Створити окрему електронну пошту: використовувати спеціальну адресу лише для Temu.
- Не зберігати платіжні дані: щоразу вводити їх вручну, не зберігаючи в додатку.
- Регулярно перевіряти активність: відстежувати, які дані використовує додаток.
Однак найбезпечнішою рекомендацією залишається повне видалення додатку і скидання пристрою до заводських налаштувань, якщо ви підозрюєте, що ваші дані могли бути скомпрометовані.
Висновок: за дешевизну платимо приватністю?
Історія Temu нагадує старе прислів’я: “Якщо продукт безкоштовний, то товаром є ви”. У випадку з Temu, ми платимо за дешеві товари не лише грошима, але й своїми персональними даними, звичками, вподобаннями і, можливо, навіть національною безпекою.
Поки офіційні розслідування тривають, кожен користувач має зважити для себе: чи варті дешеві товари з сумнівною якістю ризику втрати приватності та можливого витоку персональних даних? І чи не стане безневинний онлайн-шопінг на Temu непередбачуваною загрозою для вашої кібербезпеки в майбутньому?
Редакція продовжить стежити за розвитком ситуації та інформуватиме вас про результати офіційних розслідувань щодо Temu в Європейському Союзі та США.
