Слежка

Постов: 51 Рейтинг: 169527
8502

[моё] Reddit Перевод

Развернуть
[моё] Reddit Перевод

Уже ни для кого не секрет, что Гугл складирует огромное количество информации о каждом пользователе и использует ее в различных целях, в частности — таргетированная реклама. Тема личных данных в руках больших корпораций обсуждается уже очень давно, дело дошло и до законодательного уровня. Таким образом корпорации обязаны по запросу предоставить пользователю все собранные данные о нем — подобная функция есть и в Гугле.

Реддитор AlleKeskitason создал тред на r/AskReddit, в котором спросил у тех, кто пользовался этой функцией — что самое интересное/странное вы нашли в своих данных? За три дня пост набрал почти 100 тысяч апвоутов, для сравнения: самый популярный пост на этом сабреддите собрал 220 тысяч апвоутов с последнего Нового года.

Автор поста рассказал, что по его информации после создания этого треда статистика Ютуба, которая создается в режиме онлайн, работала с перебоями, а один из пользователей пожаловался, что после отправки запроса о своих данных он спустя 24 часа получил письмо о том, что создать архив с ними не получилось.

Возможно, это связано с тем, что десятки тысяч реддиторов завалили Гугл требованиями прислать архив, а некоторые из них весят десятки ГБ. Вдобавок отправить запрос оказалось не так сложно:


1. Переходите на https://takeout.google.com/


2. Выбираете, какие данные вы хотите посмотреть. БОльшая часть программ Гугл, собирающая информацию о пользователях, не особо распространена за пределами США, поэтому о нас данных еще меньше.


3. Выбираете параметры архива и отправляете запрос.


4. В течение некоторого времени (в зависимости от количества информации о вас) вы получите свой архив.

Комментарий автора треда:

«Это здравый повод напомнить людям, насколько много данных о себе они отдают по своей воле и как плохо все может закончится, если они утекут или если какие-нибудь правительство или корпорация решат использовать их в своих целях.
Огромный шанс того, что крайне личное дерьмо каждого человека на планете может попасть на вентилятор и разлететься повсюду без возможности это все отменить».

Мы тоже надеемся, что многие из вас заинтересуются этой возможностью из любопытства, ради фана или по каким-то другим причинам, благо сделать это очень просто. А еще это действительно неплохо так отрезвляет в плане отношения к своим данным, соцсетям и телефону.


Ну что-ж, перейдем к тому, что же реддиторы нарыли про себя в своих архивах.

1. Согласно их профайлу, я люблю китайский рэп. Я понятия не имею почему, разве что одно видео, на которое я наткнулся, когда спускался в червоточину (когда вы смотрите предлагаемые видео подряд и погружаетесь все глубже и глубже в тему) на ютубе

2. Я являюсь вице-президентов компании, о которой я никогда не слыл и информацию о которой мне не удалось найти в интернете. Это небольшая дочерняя компания Caterpillar, и это все, что я о ней знаю. Раскрывать название я не особо горю желанием

3. Я отрыл аудиозапись моего голоса со словами «проверьте пенис еврейского мальчика», хотя я не помню, чтобы когда-либо это говорил

4. Если вы используете Гугл Фото и позволяете Гугл Картам вас отслеживать:


Я сделал несколько непонравившихся мне фоток и удалил их. Несколько недель назад я листал свой таймлайн на Гугл Картах и обнаружил там те самые удаленные фото, привязанные к локации. Ничего из ряда вон, но полезно понимать, что удаление не всегда означает удаление

5. Записи моих разговоров с боссом двухлетней давности. Понятия не имею, почему в архиве били записи именно наших разговоров и никаких больше.

6. Я только что обнаружил кучу записей, как я общался с приложением по преобразованию речи в текст на своем телефоне, когда ездил за руем года четыре назад. На них я говорю как идиот — медленно произношу каждое слово, чтобы их можно было четко услышать.


«Я. ЕДУ. ЗА. БЕКОНОМ. УВИДИМСЯ. ПОЗЖЕ».


Удалить

7. Меня больше всего поразили голосовые записи. Это должно быть отключено по дефолту, а не так что каждый должен делать это сам.


Сделать это просто: Залогиньтесь в аккаунт, перейдите по ссылке https://myaccount.google.com/activitycontrols/audio и остановите Историю голосового управления


Комментарий: Только что проверил свои. Судя по ним, я использовал голосовое управление дважды. Один раз сказав «поиск», второй — «тест, тест». Оба раза были около года назад.


Теперь, если я пойду в историю своей Алексы, там все будет по другому.


А, нет, там просто туева хуча «включи свет» и «выключи свет»

8. Все мои действия на телефоне (открытые и закрытые приложения и т.д.) с первого дня после покупки, постоянные проверки моей GPS-локации и положения устройства. Если кто-то украдет ваш аккаунт Гугл, они по сути могу узнать о вас все, что возможно.


Комментарий: Они будут разочарованы.


Когда я был моложе, я взламывал аккаунты разных людей ради веселья, и потому что мой моральный компас был немного сбит. Это было еще до того, как все начали использовать приложения для коммуникации, так что ВСЕ было на электронных почтах… Если вы хотели отправить кому-то свои грязные фото, то вы делали это через эмейл.


Один из первых уроков, который я выучил — большинство людей скучные и меня не удивляли. Даже если я находил какой-нибудь необычный секрет, это не было особо странным для меня.


Я не делаю ничего, что хотел бы спрятать. Если Гугл хочет меня прослушивать — вперед и с песней. Я не настолько наивен, чтобы полагать, что та маленькая песчинка бытия, коей я являюсь, действительно важна в глобальном плане, так что я не трачу время и нервы на переживания об этом

9. Однажды я напился, заблудился по дороге домой и оказался на велосипеде на каком-то шоссе. Два года я пытался вспомнить, где я катался, пока я не увидел историю GPS с той ночи в архиве Гугла


Комментарий: А я только что узнал, что я И ПРАВДА ездил в Макдональдс посреди ночи во время дня рождения своего друга. Этого никто не заметил, и все говорили мне, что я просто отсыпался где-то все это время

10. Окей, у меня странный вопрос.


В прошлом году умер мой муж. У меня все еще есть его Samsung S7. Еще я на 99% уверена, что там есть его аккаунт Гугл, но я не уверена, сохранился ли пароль в телефоне.


Если эта штука и правда записывает голоса, как я могу получить эти записи? Я просто хочу еще раз услышать его голос. У меня наворачиваются слезы, когда я пишу это… у меня есть всего одно голосовое сообщение от него на телефоне и пара видео. Любая запись его голоса или фото, которое мне не удалось восстановить… Я хочу все, что могу получить. Я пиз*ец как по нему скучаю.


Ответ после того, как реддиторы помогли женщине получить данные мужа:


Омг, спасибо вам всем огромное… Я сейчас вся в слезах. Я без проблем получила доступ к записям, и хоть это короткие отрывки, одни из последних были «Эштон — это моя жена» и «Я люблю тебя, детка».


Вы даже не представляете, сколько это для меня значит. Там есть его тупые поисковые запросы, которые он писал, когда мы спорили (например, о названиях песен), и благодаря ним я вернулась в те времена и посмеялась. Как же я по нему скучаю… Но теперь у меня хотя бы есть маленькие отрывки памяти о нем.


Это очень важно для меня. Я безумно рада, что наткнулась на этот тред.

11. Самый пугающий факт я обнаружил при пользовании Фейсбука, а не Гугла. Короткая предыстория: я натурал, но у меня куча друзей из ЛГБТ и я активно поддерживал кампанию за легализацию однополых браков в Австралии, так что Фейсбук наверняка пометил, что я гей, где-то в начале 2012.


В этом же году я начал встречаться с девушкой. Мы долгое время дружили. Я все время зависаю на Фейсбуке, у нее тоже был аккаунт, но они им не особо пользовалась.


По сути мы никогда не переписывались на Фейсбуке.


Совершенно внезапно у меня пропали все рекламы с «одинокими мужчинами» и т.п. и появилась реклама «романтического отдыха для пар», а Фейсбук предложил мне добавить ту девушку как «близкого друга».


Я могу лишь предположить, что из данных о GPS-локации они узнали, что мы провели ночь вместе у меня, а потом еще одну у нее

12. Аудиозаписи названы довольно формально, так что советую предпринять меры предосторожности перед прослушиванием рядом с вашим партнером, родственником или другом. Не совершайте моих ошибок…


«Эй, Гугл, как увеличить размер члена?»


*девушка удивленно на меня смотрит*

13. Судя по всему, я прошел во сне тысячи километров, и каждый раз умудрялся вернуться домой, чтобы вовремя выйти на работу. А еще куча записей того, как работает вентилятор в моей компьютере. Но хотя бы они записали мои фетишистские порно-запросы.


Ох, Гугл. Гугл на хайпе. Некомпетентный Гугл. Я знаю, что мои данные в надежных руках.


UPD: нашел запись пука

14. Мне кажется, что я должен больше переживать за свои данные в руках Гугла. Особенно из-за записей разговоров. Но после того, как я их прослушал… Типа, это 400 записей того, как я говорю «сделай кофе», «включи Х на Нетфликсе» и «выключи свет»…


Возможно, это более насущная проблема для тех, кто пользуется помощником Гугл более чем для управления домом

Оригинал

Перевод выполнен телеграм-каналом r/етранслятор

7016

Ростелеком Tjournal Habr

Развернуть
Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.
Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Ростелеком Tjournal Habr

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).


Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

Ростелеком Tjournal Habr
Ростелеком Tjournal Habr
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.


5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.


После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр

9798

Родина слышит

Развернуть

С января месяца вынашивала этих товарищей, наконец сошлись все звезды и сшила. По картине Васи Ложкина "Родина слышит" (все мои работы по его картинам сшиты с любезного разрешения художника).

Родина слышит

Сделала из трикотаж-велюра на проволочном каркасе, наполнитель синтепон. Автора просила накидать схематично, что у них там ниже пояса, но видимо, запамятовал и сделала свою вольную интерпретацию.

Родина слышит

Ботинки и наушники сделала сама, из искусственной кожи. Опыт первый, а потому кривоватенько. Подстаканник из полимерной глины, стакашек пластиковый.

Родина слышит

Фон из говна и палок фетра и картона, его сделала за пять минут, дольше морочиться не хотелось, и так 2,5 дня на эту работу потратила, что по моим меркам овердофига, повторять пока точно не планирую.

Родина слышит

Макияж - перманентные маркеры. Вот хоть и рисуешь строго по картинке, но давно за собой заметила особенность, что не получается у меня передавать злобность персонажей, всегда выходят добрее, а эти товарищи даже немного грустнее. И зрачки чуть великоваты, но это самые мелкие, что были.

Родина слышит

Приветствуют тебя, читатель ))

Родина слышит
Родина слышит

А, успокойся, дался ты им )

Родина слышит

Спасибо за внимание, спецслужбы прощаются с тобой

Родина слышит

Хорошего рабочего дня )


https://www.instagram.com/dingus.cats/

15164

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Развернуть

Всегда обновляемый оригинал статьи — в моём блоге.


Вступление


Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


Как выяснилось — людям небезразличен шпионаж за ними.


Расследование понравилось и хакерам.

С момента публикации, на мой блог совершили десятки хакерских атак.

-------------------------------------

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


Для архивирования ссылок используется проверенный сервис archive.is.


Все оригинальные ссылки — в конце данной статьи.
-------------------------------------

Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


Какой ответ мы получили?


I.I. Официальный ответ Burger King ВКонтакте.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Ну что же, давайте разбирать по пунктам.

-------------------------

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.

Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.


Российский Burger King ему не подчиняется.


Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.

-------------------------

Во-вторых — «мы не делаем запись».


В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.


В том числе — во время ввода реквизитов банковских карт.

-------------------------

В-третьих — «получаем обезличенную аналитику по работе приложения».


О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?


Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

Пикабушникам он известен как @SergeyBurgerKing.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Сергей Очеретин. Директор по digital-проектам Burger King. Фотография из открытых источников.)


Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Скриншот с форума 4PDA)

-------------------------

В-четвёртых: «или об этом уже нельзя говорить?»


Burger King ни разу не отвечал на вопросы о слежке до этого комментария.


Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).


Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.


Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

-------------------------

Запись экрана — доказана.


Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.


----------------------------

I.II. «Опровержение»


Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.


Они говорят, что (далее цитата):


- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.


- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.


- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app


- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.

Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy


- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

----------------------------


Давайте пройдемся по каждому из пунктов.


Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».


Скрытие личных данных не прописано в коде приложения.


Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».


Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Комментарий пользователя на Habr.com)


Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.


-----------------

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».


Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.


Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.


Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

-----------------

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».


Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.


Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.


Также, в Пользовательском Соглашении


Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.


-----------------


Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».


Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.


Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?


Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.


Никакого «улучшения работы приложения» нет.


-----------------


Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».


AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.


Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.


-----------------


Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».


Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.


Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.

(видео разработчиков приложения Burger King)

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Скриншот из видео выше, «Cellular» — сотовые данные.


Из этого делаем вывод — очередная наглая ложь.


---------------------------------------


Часть II. Доказательство записи и передачи банковских данных.


Вступление


Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.


Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.


Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.


------------------------------------------------

Почему же я не показал сначала видео?

Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂

------------------------------------------------


Часть II.I. Видеозапись, сделанная приложением.


Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).


Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

Как Вы можете видеть, детали банковской карты — не скрываются.


Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.


Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.


Часть II.II. Техническая информация.


По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».


Видео от команды разработчиков:

-------------------------------------


Часть II.III. Почему моё видео — настоящее.


Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


Сравните сами:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

(Слева — моя запись, справа — официальный скриншот приложения)


Такое видео может записать только само приложение.


Почему?


На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).


На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.


Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.


Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.


Часть III. Заключение.

---------------------------------

Часть III.I. Итоги


Что имеем в итоге?


Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.


Здесь же — доказательства прямой лжи Burger King.

---------------------------------


Часть III.II. Проверка РосКомНадзором


Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.


И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

---------------------------------


Часть III.III. А зачем мои карты Бургер Кингу?


Предвещая вопрос:


— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)


— отвечу:


Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.


Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.


Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.


А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.


Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».


И репутацию там портить ниже некуда.


---------------------------------


Часть III.IV. Сотрудники, которых нельзя пускать к людям.


Наглая ложь, угрозы, хамство, оскорбления. Это только начало.


Хотя чего ожидать от компании с такой рекламой:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

И такими сотрудниками:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

Оригинальные ссылки:

Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.


Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.


Обращение РосКомНадзора ВКонтакте

Пост компании-разработчика приложения e-Legion

IT-директор Burger King сам говорит о собирании информации о пользователях

Информация о Сергее Очеретине — IT-директоре Burger King

Пользовательское соглашение приложения Burger King

Политика приватности AppSee (на английском)

2860

ICQ следит за пользователями?

Развернуть
ICQ следит за пользователями?
ICQ следит за пользователями?

Открываю журнал и вижу что ICQ без моего ведома включало камеру. Я при этом приложение не запускал

ICQ следит за пользователями?
2573

В свете последних событий

Развернуть
В свете последних событий
8927

Куда едут все бабки по утрам?

Развернуть
Куда едут все бабки по утрам?
1865

Понять и простить. Депутат, следивший за женщинами в туалете, избежал наказания

Развернуть
Понять и простить. Депутат, следивший за женщинами в туалете, избежал наказания
Понять и простить. Депутат, следивший за женщинами в туалете, избежал наказания
Суд прекратил дело уголовное дело, посчитав, что Андрей Мерзляков "деятельно раскаялся".
Красноуфимский городской суд прекратил уголовное дело в отношении местного депутата Андрея Мерзлякова, который был уличен в установке видеокамеры в женском туалете предприятия МУП "Энергосервис", директором которого он является. Об этом следует из постановления, опубликованного на сайте суда.


Во время следствия Мерзляков оправдывал свои действия тем, что установил камеру якобы для того, чтобы разоблачить шпиона на своём предприятии. Однако, по какой причине искал его именно в женской уборной, обвиняемый объяснить так и не смог.


По статье 137 УК РФ "Нарушение неприкосновенности частной жизни" депутату могло грозить до четырёх лет лишения свободы, однако суд неожиданно прекратил дело с формулировкой, что подсудимый "деятельно раскаялся". Другими словами, он не только признал свою вину, но и возместил потерпевшим моральный ущерб.
https://life.ru/t/%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8...
1371

Новость №436: Google поймали на слежке за Android-смартфонами

Развернуть
Новость №436: Google поймали на слежке за Android-смартфонами
http://news.nplus1.ru/n8ew
3473

Большой брат следит за тобой

Развернуть
Большой брат следит за тобой
1730

Все, что Google знает о нас.

Развернуть
Хотите знать, что Google знает про вас? Не секрет, что каждое наше нажатие на кнопку при включенном Интернете и даже не обязательно включённом, маниакально отслеживается и записывается. Куда Google складирует эти данные и можно ли их посмотреть?

Не все, но можно. И даже более – все эти данные можно скачать одним махом. Зная, что Google периодически прикрывает свои популярные сервисы, возможность выкачать всю свою инфу – ценная штука. Ниже 6 ссылок, где Вы можете найти свою информацию и даже скачать ее.


1. Посмотрите, как Google видит Вас
Google пытается создать Ваш профиль, куда входит возраст, пол, интересы и так далее. Они используют эту инфу для показа релевантной (интересной только вам) рекламы. Можете глянуть свой профиль тут:
https://www.google.com/ads/preferences/

2. Найдите историю своих передвижений
Если вы используете Андрюшу Android, ваш мобильник/планшет постоянно отсылает инфу о ваших перемещениях прямиком сюда. Вы можете глянуть эту инфу и даже экспортировать ее:
https://maps.google.com/locationhistory

3. Найдите свою историю поисковых запросов в Google
Google сохраняет каждый поисковый запрос, который вы ему скармливаете. Опять же, это используется для показа рекламы. Запись ваших поисковых запросов тут:
https://history.google.com

4. Отыщите все свои (или чужие) девайсы, которые коннектились к вашему аккаунту Google
Если вы беспокоитесь (и правильно делаете), что кто-то периодически смотрит ваш Google аккаунт, вы можете удостовериться в этом и даже глянуть IP-адрес и местонахождение подглядывающего тут:
https://security.google.com/settings/security/activity

5. Отыщите все приложения и расширения, которые имеют доступ к вашим данным в Google
Здесь список всех приложений и расширений, которые как-угодно используют ваши данные в Google. Вы можете не только посмотреть этот список, но и отозвать разрешения у тех приложений, которые вы давно хотели прибить, но не знали, где их найти:
https://security.google.com/settings/security/permissions

6. Экспортируйте все ваши данные из Google
Google пока еще предоставляет возможность выкачать все ваши данные, которые он насобирал за многие годы, века и тысячелетия: букмарки, е-майлы, контакты, записили из драйва, инфу профилей, видео из youtube, фото, и многое другое:
https://www.google.com/takeout
5223

Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой

Развернуть
В связи с тем, что 3 июня сотрудники ФБР поймали одного из государственных подрядчиков Ли Виннера из штата Джорджия на сливе секретной информации прессе, и ставшими доступными распечатками этого слива, появились новости, что секретные службы смогли его вычислить по едва заметным желтым точкам, которые цветные принтеры расставляют на всех распечатываемых документах. Точки позволяют узнать время распечатки и серийный номер принтера. Остальное — дело техники, вернее, спецслужб. Точки видны лишь при увеличении и при особом освещении. После краткого анализа, стало очевидно, что документы распечатаны в 06:20 час. 9 мая.
Вот как выглядят подобные точки, на странице, распечатанной на HP Laserjet printer, подсвеченной голубым светом.
Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой
А вот примерно так можно их расшифровать (в данном примере это увеличенные в 60 раз желтые точки, обнаруженные на странице, распечатанной принтером Xerox):
Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой
Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой
Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой
Я не сторонник теорий заговора, но моя шапочка из фольги всегда под рукой
Уже давно обсуждается, насколько этично практиковать подобную невидимую маркировку без уведомления пользователей, и не является ли это нарушением прав человека, но воз и ныне там.
Подробнее в статье на bbс.com
2720

Шизофрения и я

Развернуть
Шизофрения и я
Украдено с вк
4887

Из отзывов к фитнес-браслету

Развернуть
Из отзывов к фитнес-браслету
1917

Случайное совпадение, хотя не думаю.

Развернуть
Где-то с месяц назад было, сидели мы дома, смотрели телевизор, на улице уже почти стемнело, и поэтому жена задёрнула шторы. Вдруг слышу удар в окно спальни, я туда забежал, открыл шторы и только успел увидеть двух пацанов убегающих прочь. А под окном я, на следующий день, нашёл бутылку с водой. Выяснилось позже, что также прилетало ещё паре соседей. Жена ещё ругалась, вот кому-то делать нечего. А через неделю обнесли квартиру в соседнем подъезде, хозяева, как выяснилось потом, ездили отдыхать. И тогда я и вспомнил про пацанов. Не зря мне кажется бутылка в окно прилетала.
3256

Большой плюс

Развернуть
Хабр
xxx: вспоминается одна моя беседа с одним американским бизнесменом, для которого я настраивал сервер:
Я: Давно я не видел людей, которые пользуются The Bat! в качестве почтового клиента…
Он: Ну, он довольно неплох. И, кроме того, наши (США) госорганы не участвовали в его разработке, что для меня является большим плюсом.
3960

За тобой наблюдают везде...

Развернуть
За тобой наблюдают везде... GIF
60°43'05.30" N 46°02'08.58" W
2663

Домовенок

Развернуть
Домовенок
499

«Кто-то сидящий в подвале своего дома в одном нижнем белье»

Развернуть
«Кто-то сидящий в подвале своего дома в одном нижнем белье»
Руководство ведущих стран мира и крупнейших транснациональных корпораций призналось, что изучает, но пока никак не может оценить данные о том, что ЦРУ использовало для слежки едва ли не любой из продуктов Apple iPhone, Google Android и Microsoft Windows, а также телевизоры Samsung. Свидетельства об этом обнародовал ранее портал WikiLeaks. Тем временем в руководстве ЦРУ и АНБ «рвут и мечут».

В среду ЦРУ США отказалось комментировать опубликованный ранее на сайте WikiLeaks новый блок документов о шпионаже, осуществляемом американской разведкой. «Мы не комментируем подлинность или содержание этих разведывательных документов», – цитирует «Интерфакс» его представителя Джонатана Лю.

Но это официальный ответ ЦРУ. Однако неофициально, сообщает Reuters со ссылкой на источник в разведке, в штаб-квартирах ЦРУ и АНБ «рвут и мечут». «Информацию в течение долгого времени собирали и передавали WikiLeaks», – отметил источник. Портал BuzzFeed пишет о «панике» среди сотрудников разведки. Один из них на условиях анонимности признал, что последняя утечка «хуже Сноудена». «Это все равно что передать наш самый большой киберпистолет каждому, у кого есть интернет», – сказал он. «Документы, опубликованные WikiLeaks, чрезвычайно опасны. Они не только ставят под угрозу текущие операции, но и раскрывают детали наших подходов и методов работы, о которых не должны знать наши противники», – добавил собеседник издания.

Накануне WikiLeaks опубликовал 8761 документ, причем предупредил, что этим только начал серию публикаций утечек из ЦРУ под кодовым названием Vault 7. Документы позволяют оценить размах программы по взлому различных устройств и продуктов. Так, ЦРУ может взламывать продукцию Apple iPhone, Google Android и Microsoft Windows, телевизоры Samsung. Взломанный аппарат с помощью вируса превращается в подслушивающее устройство. Далее «зараженная» техника могла отправлять в ЦРУ данные о местонахождении пользователя, открыть доступ к разговорам и обмену СМС-сообщениями. Удаленно можно было активировать микрофон и камеру.

Пять текстовых скрытых серверов, используемых, согласно опубликованным документам, американской разведкой для прослушивания по всему миру, носят ироничное кодовое название PocketPutin.

Находящийся в посольстве Эквадора в Лондоне, где ему предоставлено политическое убежище, шеф WikiLeaks Джулиан Ассанж тоже заявил, что эта утечка – крупнейшая в истории и по объему превышает даже утечку секретных материалов от Эдварда Сноудена.


Безрассудно так, «что не выразить словами»

Сам Эдвард Сноуден оценил документы как подлинные, написав в своем Twitter о том, что в тексте присутствуют названия фирм и офисов, знать о которых мог только доверенный человек ЦРУ. «Отчеты ЦРУ показывают, что правительство США развивает уязвимость в американских продуктах, а затем намеренно держит дыры открытыми. Безрассудно настолько, что не выразить словами», – посетовал он.

Кроме того, благодаря этой грандиозной утечке рассекречены коды, которые использовали хакеры ЦРУ, а значит, по мнению Сноудена, теперь любой посторонний хакер в любой стране может использовать установленные ЦРУ лазейки в безопасности для того, чтобы взломать любой iPhone в мире.


«Русские хакеры» могут курить, сидя в трусах

Кроме того, в документах содержатся сведения о программе Umbrage – обширной библиотеке наступательных технологий. Благодаря этим технологиям ЦРУ способно устраивать хакерские атаки под «ложным флагом», выдавая себя в том числе и за легендарных «русских хакеров».

В феврале уже сообщалось о том, что из-за раздутой американскими медиа истерии хакеры-мошенники по всему миру намеренно используют русский язык для имитации «русского следа».

При этом WikiLeaks сообщает, что в свою тайную хакерскую базу ЦРУ превратило американское консульство в немецком Франкфурте-на-Майне, откуда могут вестись кибератаки на Европу, Ближний Восток и Африку. Представитель МИД ФРГ Себастиан Фишер только что и смог в среду днем осторожно заметить, что Берлин воспринимает информацию сайта WikiLeaks всерьез и остается в постоянном контакте с Вашингтоном по этому поводу. Тем временем на другом конце мира южнокорейская компания Samsung тоже пока осторожно заявила, что изучает опубликованные данные.

Однако, комментируя публикацию WikiLeaks, глава комитета сената США по делам вооруженных сил Джон Маккейн все равно опять заподозрил во всем Москву. «Я не могу этого утверждать, но очевидно, что WikiLeaks была связана с Россией», – цитирует сенатора ТАСС.

На вопрос, считает ли он, что Москва может иметь отношение к утечке из ЦРУ, Маккейн ответил метафорически: «Нет, конечно, нет, это был кто-то сидящий в подвале своего дома в одном нижнем белье, куря сигареты». По мнению сенатора, если хакерам удалось взломать ЦРУ и получить доступ «к важнейшим засекреченным материалам», значит, никто в мире не защищен от подобных атак. Маккейн выразил обеспокоенность киберугрозами и призвал сделать все для их предотвращения.


И роутеры тоже

Главный архитектор программного обеспечения компании Juniper Networks Крейг Додс, комментируя публикацию на своем аккаунте в Linkedin, добавил: ЦРУ также использовало для глобальной слежки роутеры компании Cisco. Как передает «Царьград ТВ», соответствующие модули были установлены разведкой на шесть моделей роутеров производства этой американской транснациональной компании.

В свою очередь представитель Apple заявил ресурсу TechCrunch о том, что данные из утечки WikiLeaks отчасти устарели. «Наши продукты и их программное обеспечение разработаны с целью быстрейшего обновления систем безопасности. Почти у 80% пользователей установлена новейшая версия iOS. Предварительный анализ показывает, что большинство опубликованных уязвимостей уже закрыты, но мы продолжим работу по их выявлению и немедленному устранению», – цитируют представителя компании «Ведомости».


Контрразведка США готова к «охоте на крота»

В другой американской спецслужбе – ФБР, в свою очередь, намерены устроить «масштабную охоту на крота». Как сообщает Washington Post со ссылкой на источник, знакомый с ситуацией, ФБР начало активную подготовку к поискам источника, «слившего» документы ЦРУ WikiLeaks.

Как сообщает РБК, пока не известно, отправило ли ЦРУ в минюст США отчет о возможном ущербе национальной безопасности. Такое формальное действие необходимо, чтобы ФБР начало свое расследование. В ЦРУ и ФБР, в свою очередь, отказались от комментариев.

Кстати, сенсационное разоблачение совпало с новостью о том, что еще в понедельник председатель спецкомитета сената Конгресса США по разведке Ричард Бурр и сенатор Джон Корнин (оба республиканцы) посетили штаб-квартиру ЦРУ в Лэнгли, где получили необработанные разведданные, которые якобы подтверждают желание Москвы повлиять на выборы в США в пользу Дональда Трампа, передает РИА «Новости». Корнин признал, что им дали «четыре больших папки» с информацией, которую нельзя публиковать. Таким образом, США по-прежнему не предоставили общественности никаких подтверждений своим обвинениям о «вмешательстве» России в выборы.

Слушания о деятельности «российских хакеров» начнутся скоро в обеих палатах парламента США: в спецкомитете палаты представителей по разведке 20 марта состоится открытое заседание, в Сенате «в ближайшие дни и недели» – закрытое.

За несколько часов до сенсационной публикации WikiLeaks стало известно, что в США погиб уже не мифический, а реальный российский хакер – специалист по информационной безопасности, программист и журналист Николай Лихачев, который был известен как Крис Касперски. Он написал 13 книг, посвященных защите и восстановлению данных, с 2010 года работал в компании Endeavor Security в США, но в последние годы не раскрывал место работы. Как пишет News Journal, Лихачев неудачно прыгнул с парашютом.


http://vz.ru/politics/2017/3/8/860991.html
1189

Uber уличили в слежке за полицией и чиновниками при помощи пользовательских данных

Развернуть
Компания Uber в течение нескольких лет вела программу слежки за полицейскими и чиновниками. Специальные средства блокировали тем доступ к приложению, сообщает Meduza.


Таким способом компания боролась с "подсадными" пассажирами и контрольными поездками в городах, в которых власти запрещали ее деятельность.


Программа получила название VTOS (от Violation of Terms of Service, нарушение правил пользования). О ее существовании узнало издание The New York Times, ссылаясь на анонимные источники в компании. С 2014 года, по данными NYT, программу использовали в США, Австралии, Франции, Китае и Южной Корее.


VTOS позволяет компании применять различные технологии слежки, выявляющие неугодных лиц, и делать так, чтобы они не могли вызывать такси через приложение Uber. К примеру, приложение собирало данные о клиентах, на основе которых определяло сотрудников полиции и чиновников.


В Uber "банили" телефоны людей, которые были часто замечены в зданиях полицейских участков или органов власти. Когда владельцы таких телефонов вызывали такси, приложение отправляло им сообщение, что машин поблизости нет, либо показывало "фейковые" машины, которые не приезжали на место назначения.


Контрольные поездки Uber вычислял по "одноразовым" телефонам, которые правоохранители зачастую используют для проведения операций такого рода.


Эксперты считают, что действия компании являются мошенничеством с применением информационных технологий или препятствованием правосудию.
Uber уличили в слежке за полицией и чиновниками при помощи пользовательских данных