Как 18-летний айтишник из России заставил отчитываться несколько зарубежных компаний

Суббота выдалась горячей. Какой-то 18-летний паренек, толи от скуки, толи от интереса, проснифил трафик приложения Burger King для смартфонов, и обнаружил, что это приложение записывает экран (в том числе и при вводе банковской карты), и отсылает данные на сервер. О чем поспешил сообщить ребятам на Пикабу: Приложение Burger King тайно записывает экран телефона!
Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.

Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).

Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:



Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан как «0», что значит — бесконечная запись (при запущенном приложении)!

Т. е. — приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)

О, а вот и запись экрана отправляется на сервер!



Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee — в конце) слева и сам файл mp4 справа (все эти квадраты — видео с сыром виде, которое в живом эфире отправляется на сервер).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).
Ну и финальная вишенка: AppSee — это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживать приложение для разработчиков/маркетологов.

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть — совершенно левые люди), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеют доступ кто попало.



Слегка ужато, да, но ничто не мешает серверу в какой-то момент прислать конфиг для записи видео в HD и тогда будет совсем грустно.

Как же так, Burger King? :(


На пикабу пост сорвал покровы:



Далее пост был копипастнут на хабр, и начался кромешный пиздец :





Рейтинг приложения в Google Play Market резко обвалился


Пользователи очень не довольны:



Российский сегмент интернета в буквальном смысле взорвался:





Чуткие юзеры хабра начали спрашивать, где видео (в посте был только скриншот)



Но к этому времени тонны срача вылились далеко за пределы пикабу и затопили хабр



В общем, много чего интересного произошло за очень коротки промежуток времени. Вот собственно, копипаста поста с хабры, ради чего и задумывался этот псто: Запись видео с вашего экрана не такая уж тайная. Версии Бургер Кинга и Appsee
Юзер fennikami переполошил сегодня рунет своим постом о приложении Burger King, которое якобы записывает все, что происходит на экране у юзера. Видеодоказательств, правда, он так и не предоставил.

Редакция Хабра связалась с Бургер Кингом и Appsee, чтобы они рассказали свою версию событий. Потому что несколько взглядов на вопрос всегда лучше, чем один. Бургер Кинг ответил объемным пресс-релизом и таки выдал запись видео Appsee с экрана. А Appsee ограничился коротким PDF, которым как бы говорит: ребята, наше дело маленькое, мы просто любим анализировать.

Что говорит Бургер Кинг


(если интересно, вот пресс-релиз целиком)

  1. Сам сервис не записывает данные банковских карт
  2. Наш эквайринг (Яндекс.Касса) не передает нам данные банковских карт. Так что никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.



Если верить этому видео, поля не блюрят, а закрывают черными плашками

Говорят, что данные собирают только с 10% из 3 млн юзеров и не в сотовой сети — только когда смартфон подключен к Wi-Fi. Чтобы наверняка исключить себя из тех 300к юзеров, действия которых анализируют, в приложении есть кнопка «Служба поддержки», а дальше — форма обратной связи. Там нужно явно попросить выключить вас из выборки Appsee.



Написал им. Обещали обработать заявку «в рабочее время с 10 до 18, с понедельника по пятницу».

Заявлено, что все данные приходят на сервер без имени пользователя и личных данных. Appsee соблюдает правила GDPR, поэтому следит за этим тщательно.

Бургеркингу данные Appsee нужны для улучшения юзабилити приложения.

Даже данные, которые мы получаем (имя, телефон и имейл) нам нужны только для того, чтобы начислять нашим гостям бонусы за заказ

При этом в пользовательском соглашении написано, что пользователь передает:

  1. имя,
  2. фамилию,
  3. дату рождения,
  4. номер телефона,
  5. имейл,
  6. информацию об устройстве.

8.1. В соответствии с положением Федерального закона от 27.07.2006 №152 ФЗ «О персональных данных» Пользователь свободно, своей волей и в своем интересе предоставляет Компании свои персональные данные в следующем составе: имя, фамилия, дата рождения, номер телефона, адрес электронной почты, данные о модели мобильного устройства Пользователя (производитель, модель, версия операционной системы, идентификатор устройств и иные технические параметры и идентификаторы, включая IMEI), и иная информация, которую Пользователь может указать в своем обращении, не относящееся к специальным категориям и биометрическим персональным данным, и прочие сведения, сформированные в рамках процессов обработки персональных данных Компанией, в том числе: информация о предпочтениях и заказах Пользователя (даты, состав заказа и т.д.) список аккаунтов на устройстве Пользователя; данные о местонахождении устройства Пользователя; иные технические данные, необходимые для улучшения функционала и работоспособности Приложения. Пользователь дает согласие (а также третьими лицами для исполнения обязанностей Компании) на совершение следующих действий со своими персональными данными: сбор (получение), запись, систематизация, хранение, уточнение, извлечение, использование, передача (предоставление, доступ), блокирование, обезличивание, удаление и уничтожение, персональных данных, действия (операции) совершаемые с использованием средств автоматизации и оказание консультационных услуг по запросу физического лица, в том числе хранение сведений по запросу субъекта, проведение рекламных, маркетинговых и информационных компаний для клиентов, оформление и доставка заказа клиенту, хранение сведений о субъекте в соответствии с локальными актами Общества.

Полный текст соглашения на сайте Бургер Кинг

Про право на использование пользовательских данных написано в этом же пункте, кстати.

Что говорит Appsee


Appsee тоже выпустила официальный релиз, в котором говорит, что компания, которая пользуется их услугами, должна:

  • явным образом донести до конечного пользователя, что данные об использовании приложения будут собирать,
  • указать, что все поля, где фигурирует персональная информация пользователя, будут скрыты.



P.S. Отправил еще официальный запрос разработчику приложения Бургер Кинга — e-legion. Они ведут блог на Хабре и решили ответить прямо в нем.


В ответ на это паренек заявил:



Сказано — сделано, новый пост появился на хабре и на пикабу почти одновременно:



С момента прошлого поста прошли примерно сутки. За это время бургеркинг знатно присел и наговорил много лишнего. Автор собрал все в этот пост и разнес по каждому пункту:



В общем там большой объем информации, тык.

Часть I. Ответы.


Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.



Какой ответ мы получили?



I.I. Официальный ответ Burger King ВКонтакте.




Ну что же, давайте разбирать по пунктам.



Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR. Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.



Российский Burger King ему не подчиняется.



Burger King обязан следовать Федеральному закону «О персональных данных», но он ему не следует.





Во-вторых — «мы не делаем запись».



В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.



В том числе — во время ввода реквизитов банковских карт.





В-третьих — «получаем обезличенную аналитику по работе приложения».



О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?



Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.





Сергей Очеретин. Директор по digital-проектам Burger King. 



Фотография из открытых источников.



Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.



Скриншот с форума 4PDA.





В-четвёртых: «или об этом уже нельзя говорить?»



Burger King ни разу не отвечал на вопросы о слежке до этого комментария.



Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).



Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.



Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».





Запись экрана — доказана.



Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.





I.II. «Опровержение»


Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.



Они говорят, что (далее цитата):



  • Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
  • Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
  • Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
  • Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
  • Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
  • Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

Давайте пройдемся по каждому из пунктов.



Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».



Скрытие личных данных не прописано в коде приложения.



Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».



Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.



Комментарий пользователя на Habr.com



Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.





Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».



Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.



Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.



Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.





Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».



Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.



Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.



Также, в Пользовательском Соглашении



Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.





Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».



Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.



Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?



Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.



Никакого «улучшения работы приложения» нет.





Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».



AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону «О персональных данных» он не подчиняется.



Значит —опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.





Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».



Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.



Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.




 



Скриншот из видео выше, «Cellular» — сотовые данные.



Из этого делаем вывод — очередная наглая ложь.





Часть II. Доказательство записи и передачи банковских данных.


Вступление


Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.



Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.



Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.





Почему же я не показал сначала видео? 



Ответ здесь




Часть II.I. Видеозапись, сделанная приложением


Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).



Видео никоим образом не модифицировалось, трафик и код приложения не менялись.







Как Вы можете видеть, детали банковской карты — не скрываются.



Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.



Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.



Часть II.II. Техническая информация


По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».



Видео, на которое ссылается команда-разработчик приложения Burger King




Часть II.III. Почему моё видео — настоящее.


Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.



Сравните сами:



Слева — моя запись, справа — официальный скриншот приложения



Такое видео может записать только само приложение.



Почему?



На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).



На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.



Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.



Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.



Часть III. Заключение.


Часть III.I. Итоги


Что имеем в итоге?



Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.



Здесь же — доказательства прямой лжи Burger King.





Часть III.II. Проверка РосКомНадзором


Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.



И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.





Часть III.III. А зачем мои карты Бургер Кингу?


Предвещая вопрос:



— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)



— отвечу:



Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.



Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.



Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.



А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.



Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».



И репутацию там портить ниже некуда.





Часть III.IV. Сотрудники, которых нельзя пускать к людям.


Наглая ложь, угрозы, хамство, оскорбления. Это только начало.



Хотя чего ожидать от компании с такой рекламой:









И такими сотрудниками:



Осторожно, мат (замазан — прим.мод.)!








В сухом остатке имеем: 1 технически подкованный подросток заставил две зарубежные компании и одну российскую отчитаться и присесть в лужу, вызвать огромный скандал и уничтожить репутацию Бургеркинга.

Все ссылки не в хронологическом порядке:

Pikabu: Приложение Burger King тайно записывает экран телефона!
Pikabu: Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.
Habr: Burger King и тайная запись экрана вашего телефона
Habr: Приложение Burger King: насмешка над защитой персональных данных. Исправляем?
Habr: Басня о Burger King и данных пользователей. Комментарии разработчика
Habr: Что грозит Burger King
РБК: Роскомнадзор попросил Burger King объяснить сообщения о сборе данных
РИА: Burger King опроверг сообщения о записи экрана своим мобильным приложением
Meduza: Приложение Burger King заподозрили в сборе данных банковских карт. Оно записывает видео с экрана телефона
Lenta: Приложение Burger King уличили в слежке за пользователями

11 комментариев

avatar
Хыхы, программа в любом случае делает на телефоне то, что ей разрешили при установке, т.е. сами пользователи разрешили это сделать. Да и какая разница, передаешь ты данные своей банковской карты просто цифрами/буквами, или снимая видео. Честно говоря, звучит невероятно абсурдно — кому нужны видео клацанья чьих-то жирных пальцев на экране? Это просто игра на ЧСВ стада.
И я кстати очень сомневаюсь, что администрация Пикабу тут непричастна. Эти разжигатели, уверен, налили достаточно масла в огонь чтобы вывести срач в топ. Уверен, эти выходные задались у пиарщиков конкурентов бургеркинга, кто-то наверняка получил повышение, пока кто-то переживает, как запись выбора гамбургера попадет не в те руки.
avatar
Хыхы, программа в любом случае делает на телефоне то, что ей разрешили при установке, т.е. сами пользователи разрешили это сделать.
Читай вот этот пост: habr.com/company/roskomsvoboda/blog/417145/
Юридически сбор персонализированной информации банковских карт нарушает не только европейский GDPR, но и российский 152-ФЗ «О персональных данных».

кому нужны видео клацанья чьих-то жирных пальцев на экране? Это просто игра на ЧСВ стада.
Это называется аналитика.
И я кстати очень сомневаюсь, что администрация Пикабу тут непричастна.
А пиар служба БК вообще не причем, угу
avatar
Вот этот же индивид:


Прикольно, да? Какое-то быдло пользуясь своим положением может не только получить банковские карты любого человека, он может получить конкретно ТВОИ банковские карты.
avatar
А знаешь что больше всего пугает? Что опомнились только сейчас. Да могут, и более того — получают. Просто не хотят самовыпиливаться скандалами с рынка.
Что, раньше никто не замечал, что как только у юзернейма появляются деньги на счетах — количество предложений их потратить буквально валятся из всех щелей.наблюдают за всем- покупки, интересы, и даже сравнивая запросы в поисковике и времени в телевизоре любимые телеканалы. Да тысячи их.
avatar
Угу, и это не нормально. Сейчас законодательно готовят ограничения для ахуевшей аналитики и таргетинга.
avatar
Каждая первая компания в России нарушает закон о персональных данных, просто не всякая может до них дотянуться, дальше то что, поднимем волну против сбербанка?
Пресс-служба БК с веротяностью 90 процентов непричем. Тут либо в пиар-службе работает конченный идиот с дырой в мозгу, либо организатор акции ещё немного разжег, пользуясь старым тупым методом подвесить консервную банку на хвост собаке, в данном случае — почту бк.
avatar
Каждая первая компания в России нарушает закон о персональных данных
А ты докажи. Вот парень доказал, и уже пошли первые судебные иски и проверки от Роскомнадзора. Пиздеть не мешки ворочать.
Пресс-служба БК с веротяностью 90 процентов непричем.
НУ ДА. Сначала сказать, что мы ниче не записываем

А потом ОЙ ВСЕ ТАКИ ЗАПИСЫВАЕМ. Профессионализм на лицо.
avatar
А теперь сравни вот этот пресс релиз, с тем, что сказал представить БК на 4pda.
avatar
Думай что хочешь, я свое мнение высказал. Тратить больше 5 минут на обсуждение ненужного мне приложения, значит участвовать в этом празднике жизни. А парень герой, да.
avatar


avatar
IT-директор Burger King начал угрожать автору расследования о слежке за клиентами

IT-директор Burger King начал угрожать автору расследования о слежке за клиентами


Пользователи ресурса «Хабрахабр» обнаружили, что IT-директор компании Burger King Сергей Очеретин стал угрожать автору расследования о тайной слежке за клиентами Burger King.





Комментарий на Хабрахабр



Обновлено: После того, как об угрозах рассказали, владельцы темы приложения Burger King на 4PDA удалили все посты и комментарии, связанные с этим.



Пользователь «Хабрахабра» @Sabubu сделал копии страниц.



 




Комментарий на «Хабрахабре»


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.