Басня о Burger King и данных пользователей. Комментарии разработчика

в 21:19, , рубрики: appsee, Burger King, Аналитика мобильных приложений, безопасность, Блог компании e-Legion, информационная безопасность, разработка мобильных приложений

Басня о Burger King и данных пользователей. Комментарии разработчика - 1

Привет! Мы компания e-Legion — разработчик мобильного приложения Burger King. Пишем этот пост, чтобы успокоить всех, кто волнуется за данные своих банковских карт, и объясняем, как и зачем собираются данные с экранов пользователей.

Действующие лица:

Burger King — владелец приложения, который для работы выбрал систему аналитики AppSee.

e-Legion — разработчик приложения, который получил от Burger King ключи от SDK AppSee и интегрировал его в приложение.

Appsee — аналитический сервис, который собирает статистические данные, передаёт и хранит их в безопасном виде, но тем не менее оказывается под подозрением.

fennikami — как он сообщил о себе: 18 лет, вероятно бородат, в свободное время ковыряет разные приложения

Возмущенные пользователи — 3 млн. человек, негодующие, что данные их банковских карт могут попасть в руки к злоумышленникам.

ПРОЛОГ

11 июня появился на Pikabu, а 12 июня был продублирован на Хабре пост, в котором пользователь fennikami изучает данные трафика мобильного приложения Burger King и делает вывод, что за ним следят: записывают видео с экрана, когда он вводит данные своей банковской карты, а потом передают эту информацию третьим лицам.

Эта информация возмутила пользователей приложения и взбудоражила СМИ. Десятки публикаций с заголовками о краже личных данных и сотни писем в адрес Burger King с просьбой прокомментировать написанное в посте.

АКТ I. Где Appsee записывает экран пользователя и передаёт запись в Burger King

Все приложения тестируются во время разработки и если в них находят баги, то тестировщики пишут багрепорты для разработчиков. Все эти ошибки разработчики исправляют и тестировщики вновь проверяют приложение на предмет возникновения этих ошибок.

Некоторые ошибки могут быть не замечены на этапе тестирования, а некоторые нельзя предусмотреть, и ошибки возникают уже у пользователей, например приложение крашится. Тогда на помощь приходит система аналитики. Ведь пользователи не будут писать нам багрепорты, а благодаря системе аналитики Burger King увидит ошибки, и мы сможем их исправить, чтобы ваше приложение работало стабильно.

В мобильном приложении Burger King используется один из самых известных сервисов сбора и анализа статистики Appsee. Статистика собирается исключительно с целью анализа качества работы приложения, выявления и устранения возможных ошибок, аварийных ситуаций и подобного. Как и в любой статистике, здесь важны массовые показатели. Какие-либо частные конфиденциальные пользовательские данные, в этом плане, не представляют интереса и не собираются.

Одна из важных возможностей статистики Appsee — запись видео с экрана при работе приложения. Это позволяет на существенно более качественном уровне обеспечивать техническую поддержку приложения, обнаруживать и устранять различные недостатки.

Обеспокоенность пользователей сбором статистики и особенно записью видео понятна. Давайте посмотрим, как это происходит и какие данные в итоге попадают в систему аналитики.

  1. Запись и передача видео производится примерно у 10% пользователей, которые выбираются случайно.
  2. Запись и передача видео происходит исключительно при наличии Wi-Fi-соединения и никогда не производится через мобильные сети. www.appsee.com/tutorials/recording-settings
  3. Запись видео ведётся с крайне низким качеством для обеспечения малой нагрузки на ресурсы устройства и каналы передачи данных.
  4. При записи видео автоматически скрываются все поля ввода данных, паролей и изображения с камеры. В аналитике они видны как черные прямоугольники.

Басня о Burger King и данных пользователей. Комментарии разработчика - 2
Скриншот из панели управления Appsee. Поля ввода закрыты чёрными прямоугольниками.

АКТ II. Где мы видим, как скрываются данные и разбираем скриншоты с Pikabu

Appsee, как весьма крупная компания на рынке, строго придерживается всех существующих законов о работе с персональными и прочими данными пользователей. В частности европейских требований GDPR, которые во много даже строже российских.

SDK Appsee автоматически распознаёт и скрывает все поля ввода данных, паролей и изображения с камеры. Это видно на скрине самого же fennikami — автора поста на Pikabu. Две строки, которые говорят о том, что все поля скрываются на самом клиенте при записи видео:

Басня о Burger King и данных пользователей. Комментарии разработчика - 3
Скриншот fennikami из поста на Pikabu

Скрытие данных автоматически прописано в коде приложения. А SDK Appsee работает таким образом, что скрытие полей с личными данными происходит до того, как записи покинут мобильное устройство. Давайте в этом убедимся.

Акт III. Где сравниваем записи на телефоне и в системе аналитики

Видео ещё в телефоне

Спасибо за видео norver, который проверил какие данные действительно отправляются на сервера Appsee в своём посте

Видео пришло в Appsee

Видео записано из панели управления Appsee

Акт IV. Где подводим итоги и награждаем Fennikami за любознательность

Ваши данные в безопасности потому, что:

  • Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
  • Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
  • Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
  • Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
  • Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
  • Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов. Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK.

Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion. Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе.

Автор: iSasha

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js