Eine Fabel über Burger King und Benutzerdaten. Entwicklerkommentare

Hallo Habr! Wir sind e-Legion, der Entwickler der mobilen Burger King-App. Wir schreiben diesen Beitrag, um alle zu beruhigen, die sich Sorgen um die Daten ihrer Bankkarten machen, und um zu erklären, wie und warum Daten von Benutzerbildschirmen gesammelt werden.

Schauspieler:

Burger King ist der Eigentümer der Anwendung, der das AppSee-Analysesystem für die Arbeit ausgewählt hat.

e-Legion ist ein Anwendungsentwickler, der Schlüssel vom AppSee SDK von Burger King erhalten und in die Anwendung integriert hat.

Appsee ist ein Analysedienst, der statistische Daten sammelt, überträgt und in sicherer Form speichert, aber dennoch unter Verdacht steht.

fennikami - wie er über sich selbst sagte: 18 Jahre alt, wahrscheinlich bärtig, wählt in seiner Freizeit verschiedene Anwendungen aus

Empörte Benutzer - 3 Millionen Menschen, empört darüber, dass ihre Bankkarteninformationen in die Hände von Angreifern fallen könnten.

PROLOG

Er erschien am 11. Juli auf Pikabu, und am 12. Juli wurde auf Habr ein Beitrag dupliziert, in dem der Fennikami- Benutzer die Verkehrsdaten der mobilen Burger King-Anwendung untersucht und zu dem Schluss kommt, dass er beobachtet wird: Sie zeichnen Videos vom Bildschirm auf, wenn er seine Bankkartendaten eingibt, und dann diese Informationen an Dritte weitergeben.

Diese Informationen empörten die Benutzer der Anwendung und begeisterten die Medien. Dutzende von Veröffentlichungen mit Schlagzeilen über Identitätsdiebstahl und Hunderten von Briefen an Burger King mit der Bitte, Kommentare zu dem zu verfassen, was in dem Beitrag geschrieben wurde.

AKT I. Wo Appsee den Bildschirm des Benutzers aufzeichnet und die Aufzeichnung an Burger King überträgt

Alle Anwendungen werden während der Entwicklung getestet. Wenn darin Fehler gefunden werden, schreiben Tester Fehlerberichte für Entwickler. Entwickler korrigieren alle diese Fehler und Tester überprüfen die Anwendung erneut auf diese Fehler.

Einige Fehler werden in der Testphase möglicherweise nicht bemerkt, andere sind nicht vorhersehbar, und bei Benutzern treten bereits Fehler auf, z. B. stürzt die Anwendung ab. Dann kommt das Analysesystem zur Rettung. Schließlich schreiben uns Benutzer keine Fehlerberichte, und dank des Analysesystems werden bei Burger King Fehler angezeigt, und wir können sie beheben, damit Ihre Anwendung stabil funktioniert.

Die mobile Anwendung von Burger King verwendet einen der bekanntesten Dienste für die Erfassung und Analyse von Statistiken, Appsee. Statistiken werden ausschließlich zum Zweck der Analyse der Qualität der Anwendung, der Identifizierung und Beseitigung möglicher Fehler, Notfälle und dergleichen gesammelt. Wie bei jeder Statistik sind hier Massenindikatoren wichtig. Private vertrauliche Benutzerdaten sind in dieser Hinsicht nicht von Interesse und werden nicht gesammelt.

Eine der wichtigen Funktionen der Appsee-Statistik ist das Aufzeichnen von Videos vom Bildschirm, wenn die Anwendung ausgeführt wird. Auf diese Weise können Sie technischen Support für die Anwendung auf einer wesentlich höheren Ebene bereitstellen, um verschiedene Mängel zu erkennen und zu beseitigen.

Die Bedenken der Benutzer hinsichtlich der Erfassung von Statistiken und insbesondere der Videoaufzeichnung sind verständlich. Mal sehen, wie dies geschieht und welche Daten letztendlich in das Analysesystem gelangen.

1. Die Videoaufzeichnung und -übertragung wird von ungefähr 10% der zufällig ausgewählten Benutzer durchgeführt.
2. Die Videoaufzeichnung und -übertragung erfolgt ausschließlich über eine Wi-Fi-Verbindung und wird niemals über Mobilfunknetze durchgeführt. www.appsee.com/tutorials/recording-settings
3. Die Videoaufzeichnung wird mit extrem geringer Qualität durchgeführt, um eine geringe Belastung der Ressourcen und Datenübertragungskanäle des Geräts zu gewährleisten.
4. Bei der Aufnahme eines Videos werden alle Dateneingabefelder, Kennwörter und Kamerabilder automatisch ausgeblendet. In der Analyse werden sie als schwarze Rechtecke angezeigt.

Screenshot über das Appsee-Bedienfeld. Eingabefelder werden durch schwarze Rechtecke geschlossen.

Akt II. Wo wir sehen, wie Daten versteckt sind und Screenshots von Pikabu analysieren

Appsee als sehr großes Unternehmen auf dem Markt hält sich strikt an alle bestehenden Gesetze zum Umgang mit personenbezogenen und anderen Benutzerdaten. Insbesondere die europäischen DSGVO-Anforderungen, die viel strenger sind als die russischen.

Das Appsee SDK erkennt und verbirgt automatisch alle Dateneingabefelder, Passwörter und Kamerabilder. Dies ist auf dem Bildschirm des Fennikami zu sehen - des Autors des Beitrags über Pikabu. Zwei Zeilen, die besagen, dass beim Aufnehmen von Videos alle Felder auf dem Client selbst ausgeblendet sind:


Screenshot Fennikami aus einem Beitrag auf Pikabu

Das Ausblenden von Daten wird automatisch im Anwendungscode registriert. Und das Appsee SDK funktioniert so, dass die Felder mit persönlichen Daten ausgeblendet werden, bevor die Einträge das mobile Gerät verlassen. Stellen wir das sicher.

Akt III. Wo wir Aufzeichnungen am Telefon und im Analysesystem vergleichen

Video ist noch am Telefon

Vielen Dank für das Video norver , das in seinem Beitrag überprüft hat, welche Daten wirklich an den Appsee-Server gesendet wurden

Video kam nach Appsee

Video vom Appsee-Bedienfeld aufgenommen

Akt IV. Wo man Fennikami für seine Neugier zusammenfasst und belohnt

Ihre Daten sind sicher, weil:

• Das Ausblenden persönlicher Daten beim Aufzeichnen von Videos für Analysezwecke wird in den Anwendungscode geschrieben. Daten werden ausgeblendet, bevor Sie das mobile Gerät verlassen.
• Burger King, e-Legion und Appsee haben keinen Zugriff auf die Bankdaten der Benutzer. Diese Daten werden nicht erfasst, gespeichert oder an Dritte weitergegeben.
• Burger King erhält nur einen Namen, E - Mail und Telefonbenutzer in Übereinstimmung mit der Benutzervereinbarung: burgerking.ru/legal_for_app
• Das Aufzeichnen von Videos von den Bildschirmen hilft beim Sammeln von Statistiken, um die Anwendung zu verbessern.
• Appsee hält sich strikt an alle bestehenden Gesetze zur Arbeit mit personenbezogenen Daten von Nutzern. Dies ist in ihrer Richtlinie angegeben: www.appsee.com/legal/privacypolicy
• Die Datenübertragung zum Appsee-Analysedienst erfolgt nur über WLAN und verbraucht keinen mobilen Datenverkehr

Wir möchten dem Autor des Artikels unter dem Spitznamen fennikami seinen Respekt dafür aussprechen, dass er neugierig auf die Daten von Anfragen / Antworten ist. Sie sollten jedoch keinen Alarm auslösen, bevor Sie alle Funktionen der Bibliothek oder des SDK kennengelernt haben.

Wir werden dies lehren - wir geben Ihnen kostenlose Schulungen an der e-Legion Academy . Wählen Sie eine Spezialität und schreiben Sie an sv@e-legion.com, um Zugang zum Lehrplan zu erhalten.