Jak vám Heuréka krade data

Posted 23. 05. 2016 / By Petr Soukup / Eshopy

Včera jsem tu psal, jak Heuréka může využívat dat, které ji eshopy ochotně dávají. Vždycky šlo ale o data, která k něčemu skutečně potřebovala a dalo se spekulovat o alternativních využitích. Tentokrát se podíváme, jak Heuréka aktivně krade data, která ji nikdo neposkytl.

Zajímalo vás například někdy, proč má Heuréka tak kvalitní pokrytí PPC kampaní? Není za tím jen tvrdá práce, ale také špinavý trik.

Poznámka: Heuréka toto provádí už poměrně dlouho a mezi specialisty jde o známou věc, ale eshopy o ní nejspíš nemají ani tušení.

Ověřeno zákazníky

Pokud Heuréce pošlete dost dat o vašich objednávkách a nejste vyloženě podvodníci, dostanete od ní prestižní ocenění Ověřeno zákazníky. Také dostanete skript, který si můžete vložit na web a všichni potom vidí, jak jste ověření. Výsledek vypadá nějak takhle:

Na první pohled byste asi očekávali, že jediným úkolem vloženého skriptu bylo zobrazení slušivého boxíku. Ve skutečnosti toho ale provádí více. Můžete si to zkusit sami - zmáčkněte F12, přepněte se na záložku síť, vyfiltrujte heureka a běžte na nějaký eshop.

Dozvíte se, že Heuréka pro boxík vytvoří 4 požadavky:

  • ovládací skript
  • logo heuréky
  • obrázek
  • obsah boxíku

Stále nic závadného.

Teď se podíváme, jak vypadá odpověď při získávání obsahu boxíku:

Všimněte si řádku "set-cookie". Ten říká, že Heuréka si vás právě označkovala. Když půjdete na jiný eshop, který bude mít taky Ověřeno, tak Heuréka už ví, na ktetém eshopu jste vybírali před chvíli. To jsme ale řešili už minule.

Odesílaná data

Podíváme se, jaká data se Heuréce odesílají při stahování obsahu boxíku:

V parametru key je identifikátor eshopu. To je v pořádku, protože musí nějak poznat, jaký boxík zobrazit. Zajímavější jsou ale parametr a a b, které jsou až nápadně zamaskované. Jako ostřílení ajťáci ale na první pohled vidíme, že jde o kódování base64 a to si umíme jednoduše přeložit:

Base64:

aHR0cHM6Ly93d3cuY2h5dGFwdXN0LmN6L0tybWl0a292ZS1zbWVzaS1tZXRob2QtbWl4eS9UcmFwZXItS3JtaXRrb3ZhLXNtZXMtNWtnP3ZhcmlhbnRhPTIwMTQ1JnV0bV9zb3VyY2U9c2tsaWsmdXRtX21lZGl1bT1jcGMmdXRtX2NhbXBhaWduPVBJKy0ra3JtZW5pK2Erc3Vyb3ZpbnkmdXRtX2NvbnRlbnQ9S3JtaXRrb3ZlK3NtZXNpIzE1NzUyNDkwNg==

Dekódováno:

https://www.chytapust.cz/Krmitkove-smesi-method-mixy/Traper-Krmitkova-smes-5kg?varianta=20145&utm_source=sklik&utm_medium=cpc&utm_campaign=PI - krmeni a suroviny&utm_content=Krmitkove smesi#157524906

Hned vidíme, že v parametru a se posílá adresa, na kterou zákazník do eshopu přišel. Protože jsem kliknul na PPC na Seznamu, tak Heuréka hned vidí o jakou šlo kampaň a na jaká klíčová slova. Klíčová slova si tam ale doplnil eshop pro lepší analytiku a Heuréka na to nemohla spoléhat. Přesto je ale podivné, že takovou informaci potřebuje získat.

Co se skrývá v parametru b?

Base64:

aHR0cDovL3NlYXJjaC5zZXpuYW0uY3ovP3E9a3JtJUMzJUFEdGtvdiVDMyVBOStzbSVDNCU5QnNpJm9xPWtybSVDMyVBRHRrb3YlQzMlQTkrc20lQzQlOUJzaSZzZ0lkPSZ0aHJ1PSZzdT1lJnNvdXJjZWlkPXN6bi1IUA==

Dekódováno:

http://search.seznam.cz/?q=krmítkové směsi&oq=krmítkové směsi&sgId=&thru=&su=e&sourceid=szn-HP

Hned vidíme, že to obsahuje údaje o hledání na Seznamu, ze kterého jsem přišel. Tady už se z toho Heuréka nevykroutí. Skript pro zobrazení Ověřeno zákazníky si zjistil, odkud návštěvník přišel, zamaskoval to a zahlásil do Heuréky. Heuréka tak má krásný přehled o zdrojích návštěvnosti všech eshopů. Bezpečně ví, které sortimenty frčí na Seznamu nebo přes jaká klíčová slova je zákazníci vyhledávají.

V tomto konkrétním případě Heuréka ví, že jsem hledal na Seznamu krmítkové směsi a proklik jsem se na produkt Traper Krmítková směs 5kg. Díky cookie by navíc při dalším procházení věděla, co dalšího jsem hledal (třeba jak jsem zpřesňoval výběr) a v jakých eshopech.

Konverze

Nezapomeňme navíc, že to není jediný měřící skript. Při dokončení objednávky se použije ještě skript pro měření konverzí. Ten použije cookie, kterou jsme zmínili výše a odešle identifikaci zákazníka, kód objednávky a její položky. Heuréka pak má dokonalý přehled, odkud zákazníci do eshopů chodí, jaká klíčová slova používají a které z nich přináší nejlepší konverze. Díky párování položek navíc může tyto informace pro produkty vyhodnotit napříč různými eshopy.

PPC arbitráž

Důsledky můžete vidět v praxi už nyní. Heuréka má nastavené PPC na všechna myslitelná klíčová slova, která dokáže nějak zpěněžit (kde je asi vzala?). Přivede návštěvníka k sobě a pošle ho do 2-3 eshopů. Těmto eshopům pak nafakturuje vlastní PPC.

EDIT: Samozřejmě jen střílím od boku. Na co Heuréka sbíraná data skutečně využívá ví jenom Heuréka.

Konkurenční eshopy

Tím to ale bohužel nekončí. Nyní je Heuréka ve stejném holdingu jako Mall, CZC, Parfémy.cz, Krása.cz a spousta dalších. Pokud teď prodáváte třeba parfémy a máte krásně zpracované PPC nebo SEO, tak tuto svoji konkurenční výhodu předáváte na stříbrném podnose do parfemy.cz.

Není jediné legitimní vysvětlení, proč by měla Heuréka sbírat údaje o návštěvnosti eshopů a zpracovávat je. Už vůbec ne v rámci skriptu pro zobrazení loga na webu.

UPDATE 24.5.: Heuréka skript upravila a referer už neodesílá



O blogu
Blog o provozování eshopů a technologickém zázemí.
Aktuálně řeším hlavně cloud, bezpečnost a optimalizaci rychlosti.

Rozjíždím službu pro propojení eshopů s dodavateli.