Foodora paljasti lähettiensä henkilötietoja − paikkatiedot vuotavat edelleen

Kuten tiedämme, foodora.fi-verkkopalvelun kautta on mahdollista tilata ruokaa ravintoloista kotiinkuljetettuna. Tilauksen toimittaa ravintolasta riippuen joko ravintola itse tai Foodoran ruokalähettikumppani. Kun verkkopalvelun käyttäjä on tehnyt tilauksensa, siirtyy hän tilauksen seurantasivulle, jossa esitetään tilauksen perustiedot, tila sekä arvioitu toimitusaika. Kun tilauksen toimittaa lähettikumppani, näytetään lisäksi lähetin sijainti kartalla silloin, kun tilauksen tehnyt käyttäjä on lähetin seuraava kohde.

Eräänä heinäkuisena iltana Foodorasta ruokaa tilatessani painoin uteliaisuudesta selaimen kehittäjätyökalujen HTTP-kyselytyökalun auki nähdäkseni, miten tämä tilatiedon päivittäminen selaimeen tapahtuu. Kävi ilmi, että tilauksen tiedot päivitetään tilausseurantasivulle ajoittain tehtävällä asynkronisella HTTP-kyselyllä, johon palvelin vastaa JSON:ia.

JSON-vastauksessa tietoja oli kuitenkin paljon enemmän kuin mitä tilasivulla itsessään näytetään.  Osa näistä tiedoista oli tylsiä ”teknisiä tietoja”, mutta joukossa oli myös sellaista, jota minun ei ruokatilauksen tekijänä pitäisi nähdä.

1. Lähettien henkilötietojen paljastuminen

Tilauksen tilan JSON-vastaus (arkaluonteiset tiedot peitetty kuvasta)

Tilauksen tilan JSON-vastaus (arkaluonteiset tiedot peitetty kuvasta)

Vaikka tätä tietoa ei käyttöliittymässä koskaan esitetä, palautui tilavastauksessa lähetin henkilötietoja, käytännössä tämän etunimi ja puhelinnumero. Lähetin tiedot ilmestyivät JSON-vastaukseen jo kauan ennen kuin ruokatilaus lähtee tämän matkaan ravintolasta − ilmeisesti heti kun lähetti hyväksyi ottavansa tilauksen kuljetettavakseen.

Koska tilaussivulla ei lähetin yhteystietoja missään vaiheessa näy, on selvää että tilaajana minun ei lähetin henkilötietoja tietoja olisi pitänyt saada tätäkään kautta haltuuni, enkä löytänyt katetta tietojen luovuttamiselle myöskään Foodoran tietosuojaselosteesta läheteilleen. Enpä usko, että lähetit itsekään nimensä ja puhelinnumeronsa jakelemista jokaiselle darrasafkan tilaajalle ovat toivoneet.

2. Lähettien sijaintitiedon paljastuminen liian aikaisin

Kartaton tilausseurantasivu, kun lähetti on matkalla, mutta välissä on muita toimituskohteita

Kartaton tilausseurantasivu, kun lähetti on matkalla, mutta välissä on muita toimituskohteita.

Lähetin nimen ja puhelinnumeron lisäksi JSON:issa tuli mukana myös lähetin kulloinenkin sijainti. Toisin kuin yhteystiedoille, sijaintitiedoille on asiakkaalle tilauksen etenemisen seurannassa oikeaakin käyttöä: lähetin lähestyessä kotiovea ilmaantui tilaussivulle kartta, josta pystyin seuraamaan lähetin etenemistä kohti osoitettani. Kartta sijainteineen näytettiin vasta, kun lähetti oli vienyt muut matkassaan olleet ruoka-annokset niitä kaipaaville, eli kun tämän seuraavana määränpäänä oli allekirjoittanut itse.

 
Kartallinen toimitussivu, kun lähetin seuraava osoite on tilaaja itse

Kartallinen toimitussivu, kun lähetin seuraava osoite on tilaaja itse.

Lähetin sijaintitieto palautui JSON-vastauksessa kuitenkin jo ennen kuin sitä esitettiin käyttöliittymässä, muiden tietojen tapaan ilmeisesti heti lähetin hyväksyttyä toimituksen. Tilausseurantasivun toiminnan perusteella on ilmeistä, että sijaintitiedon esittäminen on siinä tarkoituksella rajoitettu tietosuojasyistä. Käytännössä siis siksi, etten tilaajana kartalla näkyvän lähetin täppää seuraamalla voisi päätellä:

  • mistä (esim. kotoaan) lähetti lähtee liikkeelle kohti ravintolaa
  • minne (kenelle) muualle lähetti toimittaa samalla toimituskerralla

Samoin kuin lähetin nimen ja puhelinnumeron osalta, tässäkin siis käyttöliittymän osalta lähetin ja muiden asiakkaiden yksityisyydensuoja on otettu hienosti huomioon, mutta konepellin alla tilanne on tyystin toinen.

3. Lähettien sijaintitiedon liiallinen tarkkuus

Tilausseurantasivun pieni kartta, jota ei voi zoomata, jättää jonkin verran epävarmuutta siitä, missä lähetti tarkalleen menee. JSON-vastauksessa sijainti oli kuitenkin kerrottu hyvin tarkasti, oman arvioni mukaan noin metrin heitolla, eli käytännössä niin tarkasti kuin lähetin puhelimen GPS antaa myöten. Kun tarkka sijainti yhdistetään siihen, että se päivitettiin minulle noin minuutin välein lähetin tilauksen hyväksymisestä alkaen, olisin voinut halutessani käytännössä selvittää lähetin kotiosoitteen lisäksi myös ne, joille lähetti on samalla toimituskerralla ruokaa toimittanut.

Reaktioni

Ruuat syötyäni lähestyin Foodoraa ja toin nämä havaintoni (lähes samoin sanankääntein kuin yllä) heidän tietoonsa, samoin kuin korjausehdotukseni:

  1. lähetin nimen ja puhelinnumeron poisto JSON-vastauksesta
  2. lähetin sijainnin poisto vastauksesta silloin, kun sijaintia ei näytetä kartalla
  3. vastauksessa kerrotun lähetin sijainnin tarkkuuden heikentäminen

Noin kuukauden Foodoran vastausta odoteltuani lähetin saman kertomuksen myös tietosuojavaltuutetun toimistolle. Sieltä suunnalta en ole missään vaiheessa saanut mitään vastausta.

Foodoran vastine ja korjaus

Foodoralta puolestaan sain lopulta vastauksen sitä noin kaksi kuukautta odoteltuani:

Saimme kyseisen ongelman toistettua ja ryhdyimme sen pohjalta toimenpiteisiin. Voinkin ilokseni todeta, että lähetin henkilötietoihin liittyvä ongelma on korjattu 16.9.2020 ja ne eivät ole enää asiakkaan saatavilla. Valitettavasti koordinaattien tarkkuutta emme pysty muokkaamaan, sillä ne ovat kriittisiä palvelumme toimivuuden kannalta. On kuitenkin huomioitavaa, että koordinaatit ovat vain tilauksen tehneen asiakkaan saatavilla ja vain niin pitkään, kun tilaus on aktiivinen.
Tilausseuranta-JSON korjauksen jälkeen. Lähetin nimi ja puhelinnumero on poistettu.

Tilausseuranta-JSON korjauksen jälkeen. Lähetin nimi ja puhelinnumero on poistettu.

Tein lokakuun alussa testitilauksen, ja totta tosiaan: lähetin nimeä ja puhelinnumeroa ei enää JSON-vastauksen mukana tullut, vaan nämä arvot oli korvattu tyhjillä merkkijonoilla. Nimeä tai numeroa ei vastauksessa näkynyt tilauksen missään vaiheessa, vaikka itse courier-olio vastaukseen ilmestyi aiempaan tapaan heti alkumetreillä (eli lähetin hyväksyttyä toimituksen). Ällistyksekseni ja pöyristyksekseni myös lähetin sijaintitieto − yhtä tarkkana kuin ennenkin − oli myös JSON:in matkassa tilauksen alusta loppuun.

Sain myöhemmin Foodoralta jatkovastauksen, jossa he perustelevat tietojen paljastamista tilaajalle näin:

Tämä data on näkyvillä vain tililtä tilanneelle asiakkaalle kyseisen asiakastapahtuman ajan, ja koskee vain sitä lähettiä joka on kuljettamassa toimitusta asiakkaalle. Pääsy tähän dataan päättyy välittömästi sen jälkeen, kun lähetys on toimitettu. Tämän toiminnon avulla annamme asiakkaalle mahdollisuuden seurata milloin toimitus saapuu ja kuka sen toimittaa. Puhelinnumero on nähtävillä siitä syystä, että usein asiakasta ei tavoiteta vain hänen antamastaan osoitteesta (asunto voi olla esimerkiksi sisäpihalla tms).

Näin ollen, asiayhteyden huomioon ottaen, emme pidä tätä tietomurtona ja siten näe tarvetta raportoida asiaa viranomaisille.

Ajatuksiani korjauksesta ja korjaamatta jättämisestä

On tietenkin hyvä, että Foodora teki edes jotain, vaikka se melko pitkän tovin kestikin. Minun on kuitenkin hankala tajuta, mitkä ovat ne syyt joiden takia jäljelle jääneet sijaintitiedot halutaan pitää piilossa ”tavallisilta ihmisiltä”, mutta kuitenkin näyttää jokaiselle, joka on niin nörtti että löytää näppäimistöstään F12-näppäimen. Samaan aikaan on kuitenkin todettava, että en ole tähän päivään mennessä kuullut mitään yhteydenotostani Tietosuojavaltuutetulle, joten ilmeisesti valvovan viranomaisenkaan mukaan nykyisessä asiantilassa ei ole mitään puututtavaa.

Julkaisenkin tämän kirjoituksen, jotta myös muilla olisi mahdollisuus arvioida asiaa ja tehdä omat johtopäätöksensä. Itse aion tilata ruokani Foodorasta jatkossakin, mutta tunnistan nyt krapulapizzassani olevan  ruokalähetin yksityisyydensuojan polkemisen kevyen sivumaun.


Kansikuva: Foodora messenger, ottanut Tiia Monto. Käytetään CC BY-SA 3.0 -lisenssillä. Muut kuvat ottamiani kuvakaappauksia.

1 thought on “Foodora paljasti lähettiensä henkilötietoja − paikkatiedot vuotavat edelleen”

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.