метрика

Постов: 4 Рейтинг: 38580
15164

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Развернуть

Всегда обновляемый оригинал статьи — в моём блоге.


Вступление


Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


Как выяснилось — людям небезразличен шпионаж за ними.


Расследование понравилось и хакерам.

С момента публикации, на мой блог совершили десятки хакерских атак.

-------------------------------------

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


Для архивирования ссылок используется проверенный сервис archive.is.


Все оригинальные ссылки — в конце данной статьи.
-------------------------------------

Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


Какой ответ мы получили?


I.I. Официальный ответ Burger King ВКонтакте.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Ну что же, давайте разбирать по пунктам.

-------------------------

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.

Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.


Российский Burger King ему не подчиняется.


Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.

-------------------------

Во-вторых — «мы не делаем запись».


В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.


В том числе — во время ввода реквизитов банковских карт.

-------------------------

В-третьих — «получаем обезличенную аналитику по работе приложения».


О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?


Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

Пикабушникам он известен как @SergeyBurgerKing.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Сергей Очеретин. Директор по digital-проектам Burger King. Фотография из открытых источников.)


Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Скриншот с форума 4PDA)

-------------------------

В-четвёртых: «или об этом уже нельзя говорить?»


Burger King ни разу не отвечал на вопросы о слежке до этого комментария.


Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).


Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.


Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

-------------------------

Запись экрана — доказана.


Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.


----------------------------

I.II. «Опровержение»


Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.


Они говорят, что (далее цитата):


- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.


- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.


- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app


- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.

Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy


- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

----------------------------


Давайте пройдемся по каждому из пунктов.


Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».


Скрытие личных данных не прописано в коде приложения.


Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».


Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Комментарий пользователя на Habr.com)


Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.


-----------------

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».


Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.


Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.


Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

-----------------

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».


Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.


Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.


Также, в Пользовательском Соглашении


Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.


-----------------


Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».


Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.


Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?


Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.


Никакого «улучшения работы приложения» нет.


-----------------


Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».


AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.


Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.


-----------------


Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».


Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.


Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.

(видео разработчиков приложения Burger King)

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Скриншот из видео выше, «Cellular» — сотовые данные.


Из этого делаем вывод — очередная наглая ложь.


---------------------------------------


Часть II. Доказательство записи и передачи банковских данных.


Вступление


Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.


Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.


Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.


------------------------------------------------

Почему же я не показал сначала видео?

Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂

------------------------------------------------


Часть II.I. Видеозапись, сделанная приложением.


Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).


Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

Как Вы можете видеть, детали банковской карты — не скрываются.


Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.


Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.


Часть II.II. Техническая информация.


По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».


Видео от команды разработчиков:

-------------------------------------


Часть II.III. Почему моё видео — настоящее.


Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


Сравните сами:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Слева — моя запись, справа — официальный скриншот приложения)


Такое видео может записать только само приложение.


Почему?


На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).


На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.


Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.


Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.


Часть III. Заключение.

---------------------------------

Часть III.I. Итоги


Что имеем в итоге?


Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.


Здесь же — доказательства прямой лжи Burger King.

---------------------------------


Часть III.II. Проверка РосКомНадзором


Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.


И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

---------------------------------


Часть III.III. А зачем мои карты Бургер Кингу?


Предвещая вопрос:


— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)


— отвечу:


Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.


Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.


Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.


А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.


Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».


И репутацию там портить ниже некуда.


---------------------------------


Часть III.IV. Сотрудники, которых нельзя пускать к людям.


Наглая ложь, угрозы, хамство, оскорбления. Это только начало.


Хотя чего ожидать от компании с такой рекламой:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

И такими сотрудниками:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Оригинальные ссылки:

Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.


Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.


Обращение РосКомНадзора ВКонтакте

Пост компании-разработчика приложения e-Legion

IT-директор Burger King сам говорит о собирании информации о пользователях

Информация о Сергее Очеретине — IT-директоре Burger King

Пользовательское соглашение приложения Burger King

Политика приватности AppSee (на английском)

18977

Приложение Burger King тайно записывает экран телефона!

Развернуть

Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.


Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).


Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:

Приложение Burger King тайно записывает экран телефона!

Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан как "0", что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)


О, а вот и запись экрана отправляется на сервер!

Приложение Burger King тайно записывает экран телефона!

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).


Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.

Вот так выглядит само видео:

Приложение Burger King тайно записывает экран телефона!

Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.


Как же так, Burger King? :(

P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.

1732

Как выглядел бы наш календарь с 10-месячным годом и 10-дневными неделями

Развернуть
Наткнулся на пост на пикабу про истинно метрическое десятичное время: в сутках — 10 часов, по 100 минут, по 100 секунд

и была в посте ветка где шутили про истинно метрический календарь с 10-ю днями в неделю, но самое интересное, что такой календарь мог бы вполне быть вместо Римского, и возможно удобнее.
Как выглядел бы наш календарь с 10-месячным годом и 10-дневными неделями
2707

Изучал статистику запросов к сайту в метрике, и...

Развернуть
наткнулся на интересный запрос
Изучал статистику запросов к сайту в метрике, и...