Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение


Главные новости дня читайте в нашем паблике Вконтакте

Оригинал статьи — в моём блоге.

 

Вступление

 

Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.

 

Как выяснилось — людям небезразличен шпионаж за ними.

 

Расследование понравилось и хакерам.
С момента публикации, на мой блог совершили десятки хакерских атак.

 


 

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.

 

Для архивирования ссылок используется проверенный сервис archive.is.

 

Все оригинальные ссылки — в конце данной статьи.

 


 

Часть I. Ответы.

 

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.

 

Какой ответ мы получили?

I.I. Официальный ответ Burger King ВКонтакте.

 

 

Ну что же, давайте разбирать по пунктам.

 

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR. Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.

 

Российский Burger King ему не подчиняется.

 

Burger King обязан следовать Федеральному закону «О персональных данных», но он ему не следует.

 


 

Во-вторых — «мы не делаем запись».

 

В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.

 

В том числе — во время ввода реквизитов банковских карт.

 


 

В-третьих — «получаем обезличенную аналитику по работе приложения».

 

О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?

 

Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

 

 

Сергей Очеретин. Директор по digital-проектам Burger King.

 

Фотография из открытых источников.

 

Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

 

Скриншот с форума 4PDA.

 


 

В-четвёртых: «или об этом уже нельзя говорить?»

 

Burger King ни разу не отвечал на вопросы о слежке до этого комментария.

 

Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).

 

Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.

 

Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

 


 

Запись экрана — доказана.

 

Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.

 


 

I.II. «Опровержение»

 

Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.

 

Они говорят, что (далее цитата):

 

  • Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
  • Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
  • Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
  • Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
  • Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
  • Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

 

Давайте пройдемся по каждому из пунктов.

 

Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».

 

Скрытие личных данных не прописано в коде приложения.

 

Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».

 

Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

 

Комментарий пользователя на Habr.com

 

Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.

 


 

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».

 

Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.

 

Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.

 

Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

 


 

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».

 

Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.

 

Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.

 

Также, в Пользовательском Соглашении

 

Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.

 


 

Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».

 

Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.

 

Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?

 

Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.

 

Никакого «улучшения работы приложения» нет.

 


 

Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».

 

AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону «О персональных данных» он не подчиняется.

 

Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.

 


 

Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».

 

Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.

 

Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их постадоказывает, что загрузка происходит и по сотовой сети.

 

 Скриншот из видео выше, «Cellular» — сотовые данные.

 

Из этого делаем вывод — очередная наглая ложь.

 


 

Часть II. Доказательство записи и передачи банковских данных.

 

Вступление

 

Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.

 

Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.

 

Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.

 


 

Почему же я не показал сначала видео? 

 

Ответ здесь

 


 

Часть II.I. Видеозапись, сделанная приложением.

 

Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).

 

Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

 

 

Как Вы можете видеть, детали банковской карты — не скрываются.

 

Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.

 

Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.

 

Часть II.II. Техническая информация.

 

По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».

 

Видео, на которое ссылается команда-разработчик приложения Burger King

 


 

Часть II.III. Почему моё видео — настоящее.

 

Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


 

Сравните сами:

 

 Слева — моя запись, справа — официальный скриншот приложения

 

Такое видео может записать только само приложение.

 

Почему?

 

На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).

 

На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.

 

Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.

 

Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.

 

Часть III. Заключение.

 

Часть III.I. Итоги

 

Что имеем в итоге?

 

Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.

 

Здесь же — доказательства прямой лжи Burger King.

 


 

Часть III.II. Проверка РосКомНадзором

 

Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.

 

И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

 


 

Часть III.III. А зачем мои карты Бургер Кингу?

 

Предвещая вопрос:

 

— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)

 

— отвечу:

 

Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.

 

Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.

 

Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.

 

А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.

 

Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».

 

И репутацию там портить ниже некуда.

 


 

Часть III.IV. Сотрудники, которых нельзя пускать к людям.

 

Наглая ложь, угрозы, хамство, оскорбления. Это только начало.

 

Хотя чего ожидать от компании с такой рекламой:



Отправить ответ

avatar
  Подписаться  
Уведомление о