Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
Оригинал статьи — в моём блоге [1].
Вступление
Первое расследование [2] о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.
Как выяснилось — людям небезразличен шпионаж за ними.
Расследование понравилось и хакерам.
С момента публикации, на мой блог совершили десятки хакерских атак.
Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.
Для архивирования ссылок используется проверенный сервис archive.is [3].
Все оригинальные ссылки — в конце данной статьи.
Часть I. Ответы.
Компания Burger King молчала и нагло игнорировала [4] вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора [5].
Какой ответ мы получили?
I.I. Официальный ответ Burger King ВКонтакте.
[6]
Ну что же, давайте разбирать по пунктам.
Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR [7]. Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.
Российский Burger King ему не подчиняется.
Burger King обязан следовать Федеральному закону "О персональных данных" [8], но он ему не следует.
Во-вторых — «мы не делаем запись».
В моём оригинальном расследовании [2] чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.
В том числе — во время ввода реквизитов банковских карт.
В-третьих — «получаем обезличенную аналитику по работе приложения».
О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит [9]) при регистрации и использовании приложения?
Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин [10].
[11]
Сергей Очеретин. Директор по digital-проектам Burger King.
Фотография из открытых источников.
Сергей открыто заявил [12], что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.
[13] Скриншот с форума 4PDA.
В-четвёртых: «или об этом уже нельзя говорить?»
Burger King ни разу не отвечал на вопросы о слежке до этого комментария.
Они наглейшим образом игнорировали [4] вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора [5]. (о чем я написал выше).
Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.
Ответ на обращение РосКомНадзора [5] — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».
Запись экрана — доказана.
Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.
I.II. «Опровержение»
Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила [9] и компания-разработчик приложения Burger King.
Они говорят, что (далее цитата):
- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app [14]
- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
- Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy [15]
- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик
Давайте пройдемся по каждому из пунктов.
Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».
Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.
[16] Комментарий пользователя на Habr.com
Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.
Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».
Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.
Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.
Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.
Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».
Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.
Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.
Также, в Пользовательском Соглашении
Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.
Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».
Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.
Однако, ведь в своём официальном заявлении [5] Burger King говорил, что они не записывают экран! Как же так?
Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.
Никакого «улучшения работы приложения» нет.
Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».
AppSee — сервис аналитики, и Burger King постоянно заявляет [5] что сервис «следует GDPR», однако — как мы уже высянили [5], для России соблюдение GDPR ничего не значит. А вот Федеральному закону "О персональных данных" [8] он не подчиняется.
Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.
Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».
Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.
Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста [9] доказывает, что загрузка происходит и по сотовой сети.
[17] Скриншот из видео выше, «Cellular» — сотовые данные.
Из этого делаем вывод — очередная наглая ложь.
Часть II. Доказательство записи и передачи банковских данных.
Вступление
Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.
Этим мгновенно воспользовался Burger King и в отдельности Сергей [10], чтобы обвинить меня якобы во лжи.
Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.
Почему же я не показал сначала видео?
Все просто — я тоже человек :)
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование [2] ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. :)
Часть II.I. Видеозапись, сделанная приложением.
Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).
Видео никоим образом не модифицировалось, трафик и код приложения не менялись.
Как Вы можете видеть, детали банковской карты — не скрываются.
Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.
Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.
Часть II.II. Техническая информация.
По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте [9], заявляя что поля ввода данных «закрашиваются».
Часть II.III. Почему моё видео — настоящее.
Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.
Сравните сами:
[18] Слева — моя запись, справа — официальный скриншот приложения
Такое видео может записать только само приложение.
Почему?
На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).
На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.
Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.
Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.
Часть III. Заключение.
Часть III.I. Итоги
Что имеем в итоге?
Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.
Здесь же — доказательства прямой лжи Burger King.
Часть III.II. Проверка РосКомНадзором
Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.
И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.
Часть III.III. А зачем мои карты Бургер Кингу?
Предвещая вопрос:
— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)
— отвечу:
Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.
Приложение Burger King делает нанятая ими компания e-Legion [9], а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.
Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.
А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.
Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».
И репутацию там портить ниже некуда.
Часть III.IV. Сотрудники, которых нельзя пускать к людям.
Наглая ложь, угрозы, хамство, оскорбления. Это только начало.
Хотя чего ожидать от компании с такой рекламой:
[19]
[20]
И такими сотрудниками:
[21]
[22]
Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.
Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.
Обращение РосКомНадзора ВКонтакте [23]
Пост компании-разработчика приложения e-Legion [24]
IT-директор Burger King сам говорит о собирании информации о пользователях [25]
Информация о Сергее Очеретине — IT-директоре Burger King [26]
Автор: Fennikami
Источник [29]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/ios/285944
Ссылки в тексте:
[1] в моём блоге: https://fennikami.cf/burger-king-spying/
[2] Первое расследование: https://habr.com/post/416919/
[3] archive.is: http://archive.is
[4] нагло игнорировала: https://fennikami.cf/0-%D1%80%D0%B5%D0%B0%D0%BA%D1%86%D0%B8%D0%B8/
[5] прямого обращения РосКомНадзора: http://archive.is/NgyTo
[6] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/burgerking-response.png?ssl=1
[7] GDPR: https://en.wikipedia.org/wiki/General_Data_Protection_Regulation
[8] Федеральному закону "О персональных данных": http://www.consultant.ru/document/cons_doc_LAW_61801/
[9] этом говорит: http://archive.fo/6KDy7
[10] Сергей Очеретин: http://archive.is/zK88I
[11] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/sergey.jpg
[12] открыто заявил: https://archive.fo/n0UpP
[13] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/Capture-16.png
[14] burgerking.ru/legal_for_app: http://archive.is/eWXB4
[15] www.appsee.com/legal/privacypolicy: https://www.pvsm.ruhttp://web.archive.org/web/20180516082904/https://www.appsee.com/legal/privacypolicy
[16] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/habr-3.png
[17] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/AppSee-Cellular1.png
[18] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/compare-ios.png
[19] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/okureli.jpg
[20] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/obostris.jpg
[21] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/Capture-6.png
[22] Image: https://i1.wp.com/fennikami.cf/wp-content/uploads/2018/07/Capture-5.png
[23] Обращение РосКомНадзора ВКонтакте: https://vk.com/wall-76229642_191120
[24] Пост компании-разработчика приложения e-Legion: https://habr.com/company/e-Legion/blog/417043/
[25] IT-директор Burger King сам говорит о собирании информации о пользователях: https://4pda.ru/forum/index.php?showtopic=882570&view=findpost&p=75048831
[26] Информация о Сергее Очеретине — IT-директоре Burger King: http://www.tadviser.ru/index.php/%D0%9F%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0:%D0%9E%D1%87%D0%B5%D1%80%D0%B5%D1%82%D0%B8%D0%BD_%D0%A1%D0%B5%D1%80%D0%B3%D0%B5%D0%B9
[27] Пользовательское соглашение приложения Burger King: https://burgerking.ru/legal_for_app
[28] Политика приватности AppSee (на английском): https://www.appsee.com/legal/privacypolicy
[29] Источник: https://habr.com/post/417161/?utm_source=habrahabr&utm_medium=rss&utm_campaign=417161
Нажмите здесь для печати.