Geekly articles weekly

برجر كنج: مراقبة سرية ، أكاذيب ، سرقة بطاقات مصرفية. استمرار

حدث : قال المستخدم Sabubu أن مدير تكنولوجيا المعلومات في Burger King بدأ في تهديد علني لمؤلف التحقيق.

الدخول


أدى التحقيق الأول في تطبيق Burger King إلى ظهور صدى في وسائل الإعلام ، وظهر أيضًا في الجزء العلوي من Picabu و TJournal و Habrahabr.


كما اتضح ، يهتم الناس بالتجسس عليهم.


كما أحب المتسللون التحقيق. منذ نشره ، تم ارتكاب العشرات من هجمات القراصنة على مدونتي.



ملاحظة: يتم أرشفة جميع الروابط إلى الإجابات والموارد الرسمية لـ Burger King ، وذلك من أجل منع تحرير أو استبدال منشوراتهم من قبل إدارة Burger King بعد أو أثناء كتابة هذه المقالة.


لأرشفة الروابط ، استخدم خدمة archive.is المؤكدة.


جميع الروابط الأصلية في نهاية هذه المقالة.



الجزء الأول إجابات.


كان برجر كنج صامتًا وتجاهل بوقاحة أسئلة عملائه ليوم كامل بعد نشر التحقيق ، ولم يتم الرد عليه إلا بعد نداء مباشر من RosKomNadzor .


ما نوع الرد الذي حصلنا عليه؟


الرد الرسمي الثاني برجر كنج فكونتاكتي.



حسنًا ، لنفككها.


أولاً ، يعني "القانون الأوروبي لحماية البيانات الشخصية" اللائحة العامة لحماية البيانات. إنه صالح فقط للاتحاد الأوروبي ، وروسيا في الواقع ليست لها علاقة به.


الروسي برغر كينغ لا يطيعه .


يُطلب من برجر كنج الامتثال للقانون الفيدرالي للبيانات الشخصية ، ولكن لا يجب عليه ذلك.



ثانياً ، "نحن لا نسجل."


يوضح تحقيقي الأصلي بوضوح أن تطبيق Burger King لا يقوم فقط بتسجيل الشاشة ، ولكنه يقوم بذلك طوال الوقت .


بما في ذلك - أثناء إدخال تفاصيل البطاقة المصرفية.



ثالثًا ، "نحصل على تحليلات مجهولة المصدر بشأن التطبيق".


ما هو نوع عدم الكشف عن الهوية الذي ينطوي عليه الأمر إذا تلقى Burger King رقم الهاتف والاسم والعنوان البريدي للعميل ( تتحدث شركة تطوير التطبيقات Burger King عن هذه نفسها) عند التسجيل واستخدام التطبيق؟


أيضا ، يخزن برجر كنج بيانات مفصلة عن كل مستخدم ، وهو ما أكده سيرجي أوتشيريتين ، مدير المشاريع الرقمية في برجر كنج.



سيرجي أوتشيريتين. مدير المشاريع الرقمية ، برجر كنج.


صورة من مصادر مفتوحة.


صرح سيرجي صراحة أنه "فحص حساباتي" (بعد تلميح صريح بأنه يعرف موقعي ؛ في وقت كتابة هذا التقرير ، تم حذف التعليق ) وأن برجر كنج لديه "سجلات" (سجلات الإجراءات ) لكل مستخدم.


لقطة من المنتدى w3bsit3-dns.com.



رابعاً : "أم أنه من المستحيل الحديث عنه؟".


لم يجيب برجر كنج أبداً عن أسئلة حول المراقبة قبل هذا التعليق.


لقد تجاهلوا بإهانة أسئلة عملائهم ولم يبدأوا في الإجابة إلا بعد مناشدة RosKomNadzor المباشرة . (ما كتبته أعلاه).


هنا ، يدعي برجر كنج أنه من المفترض أنهم تحدثوا بالفعل عن هذا ، ولكن في الواقع - لم يكن هناك إجابة واحدة .


الاستجابة لنداء RosKomNadzor هي الأولى على الإطلاق ، ويحاولون على الفور التلاعب بآرائهم بقول "أم أنه من المستحيل بالفعل التحدث عن هذا؟"



تسجيل الشاشة - ثبت.


بفضل الحجج المذكورة أعلاه ، يمكننا أن نستنتج أن برجر كنج يكذب مرة أخرى.



I.II. "تفنيد"


بعد فترة وجيزة من رد برجر كنج على فكونتاكتي ، تم إصدار نقض من قبل شركة تطوير التطبيقات برجر كنج.


يقولون أن (اقتباس إضافي):


  • يتم إخفاء إخفاء البيانات الشخصية عند تسجيل الفيديو للتحليلات في رمز التطبيق. يتم إخفاء البيانات قبل مغادرة الجهاز المحمول.
  • لا يمتلك كل من Burger King و e-Legion و Appsee حق الوصول إلى البيانات المصرفية للمستخدمين. لا يتم تسجيل هذه البيانات أو تخزينها أو نقلها إلى أطراف ثالثة.
  • يتلقى برجر كنج فقط الاسم والبريد الإلكتروني ورقم الهاتف للمستخدم وفقًا لاتفاقية المستخدم: burgerking.ru/legal_for_app
  • يساعد تسجيل الفيديو من الشاشات على جمع الإحصائيات من أجل تحسين التطبيق.
  • تلتزم Appsee بشكل صارم بجميع القوانين الحالية بشأن العمل مع البيانات الشخصية للمستخدمين. جاء ذلك في سياستهم: www.appsee.com/legal/privacypolicy
  • يتم نقل البيانات إلى خدمة Appsee analytics فقط عبر Wi-Fi ولا يستهلك حركة مرور الهاتف المحمول

دعنا نذهب من خلال كل من العناصر.


النقطة الأولى - "إخفاء البيانات الشخصية عند تسجيل الفيديو للتحليلات مكتوبة في رمز التطبيق ، يتم إخفاء البيانات قبل مغادرة الجهاز المحمول."


لم يتم توضيح إخفاء البيانات الشخصية في رمز التطبيق.


يُعد إخفاء البيانات الشخصية عند تسجيل الفيديو معلمة يطلبها التطبيق في كل مرة من خادم بعيد ، وفقط بعد تلقي استجابة ("نعم" أو "لا") ، يتم تعيين قيمة المعلمة على "إخفاء البيانات الشخصية" أو "عدم إخفاء البيانات الشخصية" .


يتم التحكم في هذه المعلمة عن بعد ويمكن لبرجر كنج تغييرها في أي وقت. ببساطة: يريد - لا يخفي ، يريد - يخفي.


تعليق المستخدم على Habr.com


وهكذا ، نستنتج أن عبارة "البيانات مخفية" هي كذبة صارخة أخرى من جانب برجر كنج وفريق التطوير.



النقطة الثانية - "ليس لدى Burger King و e-Legion و Appsee حق الوصول إلى البيانات المصرفية للمستخدمين. لا يتم تسجيل هذه البيانات أو تخزينها أو نقلها إلى أطراف ثالثة ".


كما اكتشفنا في تحليل الفقرة الأولى ، فإن البيانات ليست مخفية وليست مشفرة. يتم نقلها إلى الخادم البعيد بنص واضح ، ويتم تخزينها هناك.


الوصول إلى هذه البيانات متاح لجميع الأشخاص المرتبطين بالتطبيق ، وكذلك بمقياس AppSee.


البيان بأن برغر كينغ ، e-Legion (مطور التطبيقات) ، و AppSee "لا يستطيعون الوصول إلى البيانات المصرفية للمستخدمين" هو كذبة أخرى صارخة .



النقطة الثالثة - "برجر كنج يتلقى فقط الاسم والبريد الإلكتروني ورقم الهاتف للمستخدم وفقًا لاتفاقية المستخدم".


كما اكتشفنا في الفقرتين الأوليين - يتمتع برجر كنج بإمكانية الوصول إلى تسجيلات شاشة المستخدم ومعلومات الفواتير الخاصة به ، وبالتالي فإن هذا البيان غير صحيح ويهدف إلى تضليل العميل.


ومع ذلك ، فإن برغر كينغ لديه حق الوصول إلى الأسماء والبريد الإلكتروني وأرقام هواتف العملاء ، ولكن ليس "فقط" ، ولكن "معًا" مع سجلات الشاشات والبطاقات المصرفية وملخص كامل لإجراءات كل مستخدم.


أيضا ، في اتفاقية المستخدم


إن التصريح بأن "برجر كنج يتلقى فقط اسم المستخدم والبريد الإلكتروني ورقم الهاتف" كذبة صارخة .



النقطة الرابعة هي "تسجيل الفيديو من الشاشات يساعد على جمع الإحصائيات من أجل تحسين التطبيق".


نأتي هنا إلى التأكيد الرسمي لتسجيل الشاشة بدون صياغة غامضة.


ومع ذلك ، بعد كل شيء ، في تصريحه الرسمي ، قال برغر كينغ أنهم لم يسجلوا الشاشة! كيف ذلك؟


إذا حكمنا من خلال الشكاوى والمراجعات العديدة على التطبيق - فهو بطيء جدًا ولا يعمل بشكل جيد.


ليس هناك "تحسين للتطبيق".



النقطة الخامسة - "تطبيق يلتزم التزامًا صارمًا بجميع القوانين الحالية بشأن العمل مع البيانات الشخصية للمستخدمين."


AppSee هي خدمة تحليلية ، ويصرح برغر كينغ باستمرار أن الخدمة "تتبع اللائحة العامة لحماية البيانات" ، ولكن - كما أوضحنا بالفعل ، فإن الامتثال للائحة العامة لحماية البيانات لا يعني شيئًا لروسيا. لكنه لا يطيع القانون الاتحادي "بشأن البيانات الشخصية" .


لذلك - مرة أخرى كذبة . بعد كل شيء ، لا يخضع AppSee للقانون الرئيسي للبيانات الشخصية.



النقطة السادسة - "يتم نقل البيانات إلى خدمة تحليلات Appsee فقط عبر Wi-Fi ولا يستهلك حركة مرور الهاتف المحمول."


أظهر الاختبار أن إرسال الفيديو يحدث عبر Wi-Fi وعبر شبكة خلوية.


علاوة على ذلك ، يثبت الفيديو الخاص بفريق e-Legion (مطور تطبيق Burger King) من مشاركته أن التنزيل يتم أيضًا عبر الشبكة الخلوية.



لقطة شاشة من الفيديو أعلاه ، "خلوي" - بيانات خلوية.


من هذا نستنتج - كذبة صارخة أخرى.



الجزء الثاني إثبات تسجيل وإرسال البيانات المصرفية.


الدخول


كانت الشكوى الرئيسية لي هي أنني عرضت فقط لقطة شاشة من الفيديو الذي اعترضته ، لكن الفيديو نفسه لم يفعل.


استفاد برغر كينغ وسيرجي بشكل منفصل من هذا على الفور ليتهمني بالكذب المزعوم.


جميع الآخرين التقطوا الشيء نفسه ، وبدأوا يتهمونني بلا أساس بـ "مسودة" ، بحجة أنني لم أعرض الفيديو. يتعلق الأمر بتوجيه الإهانات والتهديدات.



لماذا لم أعرض الفيديو أولاً؟


أجب هنا

كل شيء بسيط - أنا أيضًا شخص :)


أولاً ، لم أحفظ الفيديو ببطاقات مصرفية (شاهدته من برنامج مفتش المرور ، ولم أحفظه) ، وأظهرت لقطة الشاشة من سجل آخر ، وهو ما لا معنى للتحميل.


ثانياً ، بعد أن قمت بالتحقيق الأصلي في الليل ، لم أنم. لقد نسيت الحلم وبدأت أجيب الجميع في التعليقات. بعد ذلك بقليل - اكتشف الصحفيون تحقيقي ، نشأ الرنين ، وجلست ليس فقط الرد على التعليقات ، ولكن أيضًا على الرسائل والرسائل من الصحفيين.


جلست لفترة طويلة جدا ، وكنت سأجلس عليها.


ولكن للأسف ، ليس لدي زر "أوقف النوم وأجيب على الجميع" ، لذلك نمت.


عندما استيقظت من كومة الإخطارات على هاتفي ، رأيت نصفهم أنهم يريدون مقطع فيديو مني.


وهم لا يريدون فقط بل يريدون الإهانات والتهديدات بوقاحة.


أعتقد أن ردي على هذه المطالب في الليل كان واضحًا - بعد أن أرسلت كل الخنازير التي تهينني ، ذهبت إلى الفراش أكثر.


ويبدو أن الناس الذين كانوا يسقيونني بالزلق يعتقدون أنني مضطر للركض لفعل شيء عند أول نقرة من أصابعي. لا حقا.


في مرحلة ما ، قررت إرسال كل شيء ولا أفعل شيئًا على الإطلاق (الإهانات لا تضيف رغبة في فعل شيء). ولكن ، قررت أن أثبت مع ذلك أنني على حق.


عندما استيقظت ، تذكرت أنني بحاجة لعمل فيديو. فعلتها. :)



الجزء الثاني. تطبيق الفيديو


تم اعتراض هذا الفيديو من خلال نسخة من حركة مرور تطبيق Burger King لنظام iOS (الإصدار 2.2.0 - الأحدث).


لم يتم تعديل الفيديو بأي شكل من الأشكال ، ولم يتغير رمز المرور والتطبيق.



كما ترون ، تفاصيل البطاقة المصرفية ليست مخفية.


حقول الإدخال للهاتف والبريد الإلكتروني والاسم ولوحة المفاتيح ليست مخفية أيضًا.


أيضًا ، في بداية الفيديو ، أزلت تأكيد الموافقة على قواعد الاستخدام ، ولكن تسجيل الفيديو لم يتوقف ولا يزال يذهب إلى الخادم.


الجزء الثاني. معلومات فنية


من حيث المعلمات (الدقة ، FPS ، معدل البت) - يتزامن الفيديو الخاص بي تمامًا مع الفيديو الذي أشار إليه فريق تطوير تطبيق Burger King في مشاركته ، مشيرًا إلى أن حقول إدخال البيانات "تم طلاءها".


تمت الإشارة إلى الفيديو بواسطة فريق تطوير تطبيق Burger King


الجزء الثاني الثالث. لماذا الفيديو الخاص بي حقيقي.


أريد أن أشير إلى دليل مهم جدًا على أن الفيديو الخاص بي هو من التطبيق حقًا: فهو لا يعرض شريط الحالة (خطوط بمستوى الإشارة الخلوية ، والوقت ، وشحن البطارية) ، بدلاً من وجود مكان فارغ.


قارن لنفسك:


على اليسار هو دخولي ، على اليمين هو لقطة الشاشة الرسمية للتطبيق


لا يمكن تسجيل مثل هذا الفيديو إلا من خلال التطبيق نفسه.


لماذا؟


على iPhone (أي عليه ، أطلقت التطبيق) - من المستحيل إخفاء شريط الحالة عند استخدام أدوات نظام التشغيل لتسجيل الشاشة (والبعض الآخر غير موجود).


على جهاز iPhone الخاص بي ، لا يوجد جيلبريك (نظام تشغيل القرصنة) وتم تثبيت أحدث إصدار من نظام التشغيل iOS ، لذلك لا توجد طريقة لإخفاء شريط الحالة أو استخدام تطبيق تابع لجهة خارجية لتسجيل الشاشة.


لذلك ، فإن الطريقة الوحيدة للحصول على مثل هذا السجل هي أن يسجل التطبيق نفسه ، لأنه على نظام iOS لا يمكنه تسجيل عناصر النظام باستثناء لوحة المفاتيح.


قارن أيضًا أشرطة الحالة الفارغة في السجلات التي قدمها برجر كنج وفي الفيديو الخاص بي. يتزامنون ، ليسوا كذلك.


الجزء الثالث. الخلاصة


الجزء الثالث. الملخص


ماذا لدينا في النهاية؟


كل نقطة من "تفنيد" برجر كنج - لقد تحطمت إلى smithereens.


هنا دليل على الأكاذيب المباشرة لبرجر كنج.



الجزء الثالث. التحقق من RosKomNadzor


أود (والعديد من الأشخاص) أن تتحقق RosKomNadzor من Burger King بشأن معاملتهم غير الآمنة وغير المبالاة للبيانات الشخصية والبطاقات المصرفية للعملاء.


وحتى لا يقتصر هذا على منشور في VK مع المذكرات ، ولكن فحصًا جادًا.



الجزء الثالث. لماذا بطاقات برغر كينج الخاصة بي؟


ينذر بالسؤال:


"لماذا يسرق برجر كنج تفاصيل بطاقة الدفع؟" إنهم أثرياء بالفعل ، وسرقة البطاقات ستفسد سمعتهم ". (اقتباس من سؤال حقيقي في المنتدى)


- سأجيب:


الحقيقة هي أن تطبيق Burger King لم يتم من قبل مدير الشبكة نفسه. صدقني ، إنه لا يجلس على كرسي جلدي على جهاز كمبيوتر ، ويضيء سيجارًا كوبيًا مع مجموعة من باكز ويطلب رمز تطبيق لسرقة الأموال من الروس.


تم تقديم تطبيق Burger King من قبل شركة e-Legion التي استأجرتهم ، ويمكن للجميع الوصول إلى تسجيلات الشاشة (لا أعتقد أن بيانات e-Legion التي لا يستطيع الوصول إليها إلا موظفي برجر كنج بعد كذبة مباشرة ، الأمر الذي أثبتته ): و e-Legion ، وبرجر كنج ، وكل شيء بينهما.


قد يكون هناك طالب يعمل في doshiraki ، ويريد المال السهل.


أو ربما مهاجم قام الآن بإمساك بطاقتك واشترى بالفعل iPhone جديد تمامًا.


لن تعرف أبدًا ، لأنه إذا حدث ذلك ، فإن كينغ برجر كينج ، كالمعتاد ، سوف يكذب عليك بوقاحة ويقول إن كل شيء "على ما يرام ، وبشكل عام -" أنت مدخن ".


وليس هناك مكان لإفساد السمعة أدناه.



الجزء الثالث. الموظفين الذين لا ينبغي السماح لهم بالناس.


أكاذيب وقحة وتهديدات وقاحة وإهانات. هذه هي البداية فقط.


على الرغم من ما يمكن توقعه من شركة لديها مثل هذه الإعلانات:





وبهؤلاء الموظفين:


تحذير ، حصيرة (ملطخ - تقريبًا.)!



الروابط الأصلية

الروابط في المقالة هي نسخ أرشيفية من الروابط أدناه ، مصنوعة لمنع تحرير أو إزالة منشورات / مشاركات برجر كنج.


لا أوصي بقراءة إجابات برجر كنج على الروابط أدناه ، حيث كان من الممكن تغييرها بعد نشر مقالتي.


نداء RosKomNadzor فكونتاكتي


وظيفة مطور الشركة لتطبيق Legion الإلكتروني


مدير تكنولوجيا المعلومات في برجر كنج يتحدث عن جمع معلومات المستخدم


معلومات حول سيرجي أوتشيريتين - مدير تكنولوجيا المعلومات في برجر كنج


اتفاقية مستخدم برجر كنج


سياسة خصوصية AppSee (باللغة الإنجليزية)

Source: https://habr.com/ru/post/ar417161/

More articles:


All Articles