Рубрика «безопасность»

Оригинал статьи — в моём блоге.

Вступление

Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.

Как выяснилось — людям небезразличен шпионаж за ними.

Расследование понравилось и хакерам.
С момента публикации, на мой блог совершили десятки хакерских атак.


Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.

Для архивирования ссылок используется проверенный сервис archive.is.

Все оригинальные ссылки — в конце данной статьи.


Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.

Какой ответ мы получили?

Читать полностью »

image

После того, как Хабр буквально за сутки разорвала серия статей про вкусную еду слежку за пользователями от Burger King (раз, два, три), разработчик приложения e-Legion опубликовал на Хабре ответный пост.

Да, ажиотаж эта тема вызвала серьезный, на текущий момент суммарно эти статьи просмотрели больше 230 тысяч раз и оставлено больше 1000 комментариев.

В своей статье разработчик пытается опровергнуть доводы молодого человека, рассказавшего о том, как приложение Burger King не очевидным образом мониторит поведение пользователей, и утверждает, что обработка персональных данных соответствует даже GDPR, который строже отечественного закона №152-ФЗ «О персональных данных».

РосКомСвобода покажет, почему приложение Burger King не соответствует закону №152-ФЗ и подарит ООО «Бургер Рус» час бесплатной консультации юриста по персональным данным.

Итак, поехали! Читать полностью »

Басня о Burger King и данных пользователей. Комментарии разработчика - 1

Привет! Мы компания e-Legion — разработчик мобильного приложения Burger King. Пишем этот пост, чтобы успокоить всех, кто волнуется за данные своих банковских карт, и объясняем, как и зачем собираются данные с экранов пользователей.
Читать полностью »

Юзер fennikami переполошил сегодня рунет своим постом о приложении Burger King, которое якобы записывает все, что происходит на экране у юзера. Видеодоказательств, правда, он так и не предоставил.

Запись видео с вашего экрана не такая уж тайная. Версии Бургер Кинга и Appsee - 1
Скриншот аналитики Appsee

Редакция Хабра связалась с Бургер Кингом и Appsee, чтобы они рассказали свою версию событий. Потому что несколько взглядов на вопрос всегда лучше, чем один. БК ответил объемным пресс-релизом и таки выдал запись видео Appsee с экрана. А Appsee ограничился коротким PDF, которым как бы говорит: ребята, наше дело маленькое, мы просто любим анализировать.Читать полностью »

Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.

Сегодня мои руки дошли до распиаренного и популярного приложения Burger King (того самого, где «бургер — бесплатно», «наедалово» и промокоды для друзей).

Запускаю их приложение, наблюдаю за трафиком. И тут обнаруживаю это:

image

Что это такое? Если нет идей, смотрите под катом.
Читать полностью »

«Да, мы ... гордимся тем, что нас, Сбербанк, ни разу не взломали. Вы произнесли очень важный термин, ... у нас очень нелюбимый, — это “социальный инжиниринг”. Честный ответ: наши клиенты не защищены. Делаем ли мы достаточно для того, чтобы наши клиенты были защищены? Нет, не достаточно ... из недели в неделю повторяются одни и те же цифры: 96-97% решенных вопросов по киберпреступности, 3-4% — это то, когда киберпреступники достигли своей цели. Не против нас. ... Легче ли нам от того, что проникли не в наши системы, а проникли в кошелек наших клиентов? Конечно, не легче», — Читать полностью »

Анализ применения цифровой подписи: 10 из 15 топовых криптовалют не подписывают ПО - 1 Читая новость о внедрении в инфраструктуру одного из проектов, я задался вопросом: как вообще обстоят дела с применением цифровой подписи в оплоте финтех революции. Собственно одним лишь любопытством дело не закончилось. Тотально низкая безопасность в криптосфере – оксюморон и факт, поэтому, чтобы данная статья не превратилась в избиение лежачего, я взял криптовалюты из ТОП-15 сайта CoinMarketCap вышедшие в релиз и проанализировал на корректность процедуру подписания кода в этих проектах. Результаты под катом.

Читать полностью »

Привет! Все вы знаете о такой абстрактной вещи как "халява". Возможность получить какую-то вещь бесплатно, пусть даже ненужную, собирает в интернете целые форумы единомышленников. Часть из этих предложений требуют неких активных действий, таких как регистрация, прохождение тестов, ввод данных. И по большей части это взаимовыгодный обмен как для фирмы (получение данных о целевой аудитории), так и для человека (бесплатная безделушка). Но в некоторых случаях люди предоставляют многие личные данные взамен на магнитик/кружку/блокнотик. И этими данными могут воспользоваться.

Стикеры ВК — занятная вещь, не правда ли? Красивые односложные ответы, оформленные в виде картинок, которыми можно отвечать в диалогах. Многие тратят деньги за возможность получить стикеры а некоторые получают их бесплатно, и именно возможность получить стикеры (то чем ты редко будешь пользоваться будешь ли?) бесплатно подкупает.
Читать полностью »

Любая система имеет свои слабые и сильные стороны. Первая часть о слабостях HTTPS вызвала неоднозначную реакцию, что «это не слабости, так было задумано». В первой части говорилось:

  1. О невозможности обеспечить полную конфиденциальность и privacy пользователям (все ещё можно отслеживать и банить ресурсы, которые человек посещает)
  2. О том, что сертификаты передаются по открытому каналу и содержат чаще больше информации, чем текущий ресурс (например, сертификат bing.com содержит информацию о 72 дополнительных ресурсах, включая дев, тест, бета среды)

Продолжу называть это «слабостями» дизайна. В этой статье поговорим о ещё одной слабой стороне — централизованности.

HTTPS базируется на SSL и TLS протоколах (для простоты будем называть просто SSL – хотя SSL и TLS работают на разных уровнях OSI стека). Поэтому говоря о слабости, мы будем иметь ввиду централизованность SSL протокола.

Теория

Начать стоит с теории протоколов шифрования. Проблема современной криптографии состоит не в самом шифровании, а в том, что делать с ключами: как их хранить, передавать, создавать и уничтожать безопасно.

Основой SSL является ассиметричное шифрование, которое определяется наличием двух ключей – если одним зашировать, то расшировать можно только вторым, и наоборот.

Основной функцией ассиметричного шифрования является аутентификация, отнюдь не шифрование – это достаточно ресурсоемкая и дорогая операция для данного алгоритма. Быстрое и эффективное шифрование – это прерогатива симметричных алгоритмов, которые используют один и тот же ключ как для шифровки, так и для дешифровки.Читать полностью »

Microsoft расширяет инструменты обеспечения конфиденциальности данных перед ВВП

Microsoft объявила, что расширит свои инструменты обеспечения конфиденциальности данных для отдельных пользователей продуктов и услуг компании по всему миру.

Права субъекта данных Microsoft включают право знать о данных, собираемых компанией, а также о возможности исправления данных, их удаление или перемещенея в другое место.

Читать полностью »