UPD : Benutzer Sabubu sagte, dass der IT-Direktor von Burger King damit begann, den Autor der Untersuchung öffentlich zu bedrohen.
Eintrag
Die erste Untersuchung der Burger King-Anwendung stieß in den Medien auf Resonanz und erschien auch in Picabu, TJournal und Habrahabr.
Wie sich herausstellte, kümmern sich die Leute darum, sie auszuspionieren.
Die Hacker mochten auch die Untersuchung. Seit seiner Veröffentlichung wurden Dutzende von Hackerangriffen auf meinen Blog verübt.
Hinweis: Alle Links zu offiziellen Antworten und Ressourcen von Burger King werden archiviert, um zu verhindern, dass die Burger King-Administration nach oder während des Schreibens dieses Artikels ihre Beiträge bearbeitet oder ersetzt.
Verwenden Sie zum Archivieren von Links den bewährten Dienst archive.is .
Alle Original-Links befinden sich am Ende dieses Artikels.
Teil I. Antworten.
Burger King schwieg und ignorierte die Fragen seiner Kunden einen ganzen Tag nach der Veröffentlichung der Untersuchung dreist und antwortete erst nach einem direkten Aufruf von RosKomNadzor .
Welche Art von Antwort haben wir bekommen?
II Offizielle Antwort Burger King VKontakte.
Na dann, lass es uns auseinander nehmen.
Erstens bedeutet „europäisches Gesetz zum Schutz personenbezogener Daten“ die DSGVO . Es gilt nur für die Europäische Union , und Russland hat de facto nichts damit zu tun.
Der russische Burger King gehorcht ihm nicht .
Burger King ist verpflichtet, das Bundesgesetz über personenbezogene Daten einzuhalten, sollte dies jedoch nicht .
Zweitens - „wir machen nicht den Rekord.“
Meine ursprüngliche Untersuchung zeigt deutlich, dass die Burger King-Anwendung nicht nur den Bildschirm aufzeichnet , sondern dies ständig tut.
Einschließlich - während der Eingabe von Bankkartendaten.
Drittens : "Wir erhalten anonymisierte Analysen für die Anwendung."
Um welche Art von Anonymität handelt es sich, wenn Burger King bei der Registrierung und Verwendung der Anwendung die Telefonnummer, den Namen und die Postanschrift des Kunden erhält (die Anwendungsentwicklungsfirma Burger King spricht selbst darüber)?
Außerdem speichert Burger King detaillierte Daten zu jedem Benutzer, was von Sergey Ocheretin, Director of Digital Projects bei Burger King, bestätigt wird.
Sergey Ochreetin. Direktor für digitale Projekte, Burger King.
Foto aus offenen Quellen.
Sergei erklärte offen, dass er "meine Konten überprüft" habe (nach einem ausdrücklichen Hinweis, dass er meinen Standort kenne; zum Zeitpunkt des Schreibens wurde der Kommentar gelöscht ) und dass Burger King für jeden Benutzer "Protokolle" ( Aufzeichnungen von Aktionen ) hat.
Screenshot aus dem Forum w3bsit3-dns.com.
Viertens : "Oder ist es schon unmöglich, darüber zu sprechen?"
Burger King hat vor diesem Kommentar noch nie Fragen zur Überwachung beantwortet.
Sie ignorierten unverschämt die Fragen ihrer Kunden und begannen erst nach dem direkten Aufruf von RosKomNadzor zu antworten. (was ich oben geschrieben habe).
Hier gibt Burger King vor, dass sie angeblich bereits darüber gesprochen haben, aber tatsächlich - es gab keine einzige Antwort .
Die Reaktion auf den Appell von RosKomNadzor ist ihre erste und sie versuchen sofort , ihre Meinung zu manipulieren , indem sie sagen: "Oder ist es bereits unmöglich, darüber zu sprechen?"
Bildschirmaufnahme - Bewährt.
Aufgrund der oben genannten Argumente können wir , dass der Burger schließen König wieder liegen.
I.II. "Widerlegung"
Kurz nachdem Burger King auf VKontakte geantwortet hatte, wurde von der Anwendungsentwicklungsfirma Burger King eine Gegenargumentation herausgegeben .
Sie sagen das (weiteres Zitat):
- Das Ausblenden persönlicher Daten beim Aufzeichnen von Videos für Analysezwecke wird in den Anwendungscode geschrieben. Daten werden ausgeblendet, bevor Sie das mobile Gerät verlassen.
- Burger King, e-Legion und Appsee haben keinen Zugriff auf die Bankdaten der Benutzer. Diese Daten werden nicht erfasst, gespeichert oder an Dritte weitergegeben.
- Burger King erhält nur einen Namen, E - Mail und Telefonbenutzer in Übereinstimmung mit der Benutzervereinbarung: burgerking.ru/legal_for_app
- Das Aufzeichnen von Videos von den Bildschirmen hilft beim Sammeln von Statistiken, um die Anwendung zu verbessern.
- Appsee hält sich strikt an alle bestehenden Gesetze zur Arbeit mit personenbezogenen Daten von Nutzern. Dies ist in ihrer Richtlinie angegeben: www.appsee.com/legal/privacypolicy
- Die Datenübertragung zum Appsee-Analysedienst erfolgt nur über WLAN und verbraucht keinen mobilen Datenverkehr
Lassen Sie uns die einzelnen Punkte durchgehen.
Punkt eins - "Das Ausblenden persönlicher Daten beim Aufzeichnen von Videos für Analysen wird in den Anwendungscode geschrieben. Daten werden ausgeblendet, bevor das mobile Gerät verlassen wird."
Das Ausblenden personenbezogener Daten wird im Anwendungscode nicht angegeben.
Das Ausblenden persönlicher Daten beim Aufzeichnen von Videos ist ein Parameter, den die Anwendung jedes Mal von einem Remote-Server abfragt . Erst nach Erhalt einer Antwort („Ja“ oder „Nein“) wird der Wert des Parameters auf „Persönliche Daten ausblenden“ oder „Persönliche Daten nicht ausblenden“ festgelegt. .
Dieser Parameter wird ferngesteuert und kann von Burger King jederzeit geändert werden. Einfach ausgedrückt: will - versteckt sich nicht, will - versteckt sich.
Benutzerkommentar auf Habr.com
Wir kommen daher zu dem Schluss, dass die Aussage „Daten sind verborgen“ eine weitere offensichtliche Lüge von Burger King und seinem Entwicklungsteam ist.
Punkt zwei - „Burger King, e-Legion und Appsee haben keinen Zugriff auf die Bankdaten der Benutzer. Diese Daten werden nicht erfasst, gespeichert oder an Dritte weitergegeben. “
Wie wir in der Analyse des ersten Absatzes herausgefunden haben, sind die Daten nicht versteckt und nicht verschlüsselt. Sie werden im Klartext auf den Remote-Server übertragen und dort gespeichert.
Der Zugriff auf diese Daten steht allen Benutzern der Anwendung sowie der AppSee-Metrik zur Verfügung.
Die Aussage, dass Burger King, e-Legion (Anwendungsentwickler) und AppSee „keinen Zugriff auf die Bankdaten der Benutzer haben“, ist eine weitere offensichtliche Lüge .
Punkt drei - "Burger King erhält nur den Namen, die E-Mail-Adresse und die Telefonnummer des Benutzers gemäß der Benutzervereinbarung."
Wie wir in den ersten beiden Absätzen herausgefunden haben, hat Burger King Zugriff auf Benutzerbildschirmaufzeichnungen und deren Rechnungsinformationen . Daher ist diese Aussage falsch und soll den Kunden irreführen.
Burger King hat jedoch Zugriff auf die Namen, E-Mails und Telefonnummern der Kunden, jedoch nicht "nur", sondern "zusammen" mit Aufzeichnungen von Bildschirmen, Bankkarten und einer vollständigen Zusammenfassung der Aktionen jedes Benutzers.
Auch in der Benutzervereinbarung
Die Aussage, dass „Burger King nur den Namen, die E-Mail-Adresse und die Telefonnummer des Benutzers erhält“, ist eine offensichtliche Lüge .
Der vierte Punkt lautet: „Das Aufzeichnen von Videos von Bildschirmen hilft beim Sammeln von Statistiken, um die Anwendung zu verbessern.“
Hier kommen wir zur offiziellen Bestätigung der Bildschirmaufnahme ohne vagen Wortlaut.
Da jedoch in seiner offiziellen Erklärung, sagte Burger King sich nicht den Bildschirm aufzunehmen! Wie so?
Gemessen an den zahlreichen Beschwerden und Überprüfungen des Antrags ist er sehr langsam und funktioniert nicht gut.
Es gibt keine "Verbesserung der Anwendung".
Punkt fünf - "Appsee hält sich strikt an alle bestehenden Gesetze zum Umgang mit personenbezogenen Daten von Benutzern."
AppSee ist ein Analysedienst, und Burger King erklärt ständig, dass der Dienst „der DSGVO folgt“ - wie wir bereits erklärt haben , bedeutet die Einhaltung der DSGVO für Russland nichts. Aber das föderale Gesetz „Über persönliche Daten“ er nicht gehorcht.
Also - wieder eine Lüge . Schließlich hält sich AppSee nicht an das Hauptgesetz über personenbezogene Daten.
Punkt 6 - „Die Datenübertragung zum Appsee-Analysedienst erfolgt nur über WLAN und verbraucht keinen mobilen Datenverkehr.“
Tests haben gezeigt, dass die Videoübertragung sowohl über WLAN als auch über ein Mobilfunknetz erfolgt.
Darüber hinaus zeigt das eigene Video des e-Legion-Teams (Entwickler der Burger King-Anwendung) aus seinem Beitrag, dass der Download auch über das Mobilfunknetz erfolgt.
Screenshot aus dem obigen Video „Mobilfunk“ - Mobilfunkdaten.
Daraus schließen wir - eine weitere offensichtliche Lüge .
Teil II Nachweis der Erfassung und Übermittlung von Bankdaten.
Eintrag
Die Hauptbeschwerde an mich war, dass ich nur einen Screenshot von dem Video zeigte, das ich abgefangen habe, das Video selbst jedoch nicht.
Burger King und Sergey nutzten dies sofort, um mich des angeblichen Lügens zu beschuldigen.
Alle anderen griffen dasselbe auf und beschuldigten mich grundlos eines „Entwurfs“ und argumentierten, dass ich das Video nicht gezeigt habe. Es kam zu direkten Beleidigungen und Drohungen.
Warum habe ich das Video nicht zuerst gezeigt?
Antworte hierAlles ist einfach - ich bin auch eine Person :)
Erstens habe ich das Video nicht mit Bankkarten gespeichert (ich habe es über das Verkehrsinspektorprogramm angesehen und nicht gespeichert), und der Screenshot wurde von einem anderen Datensatz gezeigt, dessen Hochladen keinen Sinn ergab.
Zweitens - das Original machen post-Untersuchung von der Nacht, habe ich nicht schlafen gehen. Ich vergaß den Traum und begann, alle in den Kommentaren zu beantworten. Wenig später entdeckten die Journalisten meine Ermittlungen, die Resonanz entstand und ich antwortete nicht nur auf Kommentare, sondern auch auf Briefe und Nachrichten von Journalisten.
Ich saß so lange und hätte darauf gesessen.
Aber leider habe ich nicht die Schaltfläche "Schlaf ausschalten und allen antworten", also bin ich schlafen gegangen.
Als ich aus dem Haufen von Benachrichtigungen auf meinem Telefon aufwachte, sah ich halbwegs, dass sie ein Video von mir wollten.
Und sie wollen nicht nur, sondern wollen mit Beleidigungen, mit Drohungen, mit Unhöflichkeit.
Ich denke, dass meine Reaktion auf solche Forderungen nachts offensichtlich war - nachdem ich alle Buren geschickt hatte, die mich beleidigten, ging ich weiter ins Bett.
Und die Leute, die mich mit Slop tränkten, dachten anscheinend, ich müsse mit dem ersten Klick meiner Finger rennen, um etwas zu tun. Nein, wirklich.
Irgendwann habe ich beschlossen, alles zu senden und überhaupt nichts zu tun (Beleidigungen fügen nicht den Wunsch hinzu, etwas zu tun). Aber ich beschloss trotzdem zu beweisen, dass ich Recht hatte.
Als ich aufwachte, fiel mir ein, dass ich ein Video machen musste. Hab es geschafft. :) :)
Teil II.I. Anwendungsvideo
Dieses Video wurde von mir aus einer Kopie des Datenverkehrs der Burger King-Anwendung für iOS (Version 2.2.0 - die neueste Version) abgefangen.
Das Video wurde in keiner Weise geändert , der Datenverkehr und der Anwendungscode haben sich nicht geändert .
Wie Sie sehen können, sind die Details der Bankkarte nicht verborgen.
Die Eingabefelder für Telefon, E-Mail, Name und Tastatur sind ebenfalls nicht ausgeblendet.
Außerdem habe ich zu Beginn des Videos die Bestätigung der Übereinstimmung mit den Nutzungsregeln entfernt, aber die Videoaufzeichnung wurde nicht gestoppt und ging immer noch an den Server.
Teil II.II. Technische Informationen
In Bezug auf Parameter (Auflösung, FPS, Bitrate) stimmt mein Video vollständig mit dem Video überein, auf das das Burger King-Anwendungsentwicklungsteam in seinem Beitrag verwiesen hat, und besagt, dass die Dateneingabefelder „übermalt“ sind.
Video, auf das das Burger King App-Entwicklungsteam verweist
Teil II.III. Warum ist mein Video echt?
Ich möchte einen sehr wichtigen Beweis dafür anführen, dass mein Video wirklich aus der Anwendung stammt: Es zeigt nicht die Statusleiste (Zeilen mit dem Pegel des Mobilfunksignals, der Zeit, der Batterieladung), sondern es gibt einen leeren Platz.
Vergleichen Sie selbst:
Links ist mein Eintrag, rechts ist der offizielle Screenshot der Anwendung
Ein solches Video kann nur von der Anwendung selbst aufgenommen werden.
Warum?
Auf dem iPhone (nämlich darauf habe ich die Anwendung gestartet) - es ist unmöglich, die Statusleiste auszublenden, wenn die Anzeige mithilfe der Betriebssystem-Tools aufgezeichnet wird (und andere existieren nicht).
Auf meinem iPhone gibt es keinen Jailbreak (Hacking-Betriebssystem) und die neueste Version von iOS ist installiert. Daher kann ich die Statusleiste nicht ausblenden oder eine Drittanbieteranwendung zum Aufzeichnen des Bildschirms verwenden.
Daher besteht die einzige Möglichkeit, einen solchen Datensatz abzurufen, darin, dass die Anwendung sich selbst aufzeichnet, da sie unter iOS keine Systemelemente außer der Tastatur aufzeichnen kann.
Vergleichen Sie auch die leeren Statusleisten in den von Burger King bereitgestellten Datensätzen und in meinem Video. Sie fallen zusammen, sie sind es nicht.
Teil III. Fazit
Teil III.I. Zusammenfassung
Was haben wir am Ende?
Jeder Punkt der „Widerlegung“ von Burger King - ich bin in Stücke gerissen worden.
Hier ist ein Beweis für die direkten Lügen von Burger King.
Teil III.II. Überprüfung durch RosKomNadzor
Ich (und viele Leute) möchten, dass RosKomNadzor Burger King auf ihre unsichere und gleichgültige Behandlung personenbezogener Daten und Bankkarten von Kunden überprüft.
Und damit dies nicht auf einen Beitrag in VK mit Memasics beschränkt ist, sondern auf eine ernsthafte Überprüfung.
Teil III.III. Warum meine Burger King Karten?
Vorahnung der Frage:
"Warum sollte Burger King Zahlungskartendaten stehlen?" Sie sind bereits reich und das Stehlen von Karten wird ihren Ruf zerstören. “ (Zitat einer echten Frage im Forum)
- Ich werde antworten:
Tatsache ist, dass der Burger King-Antrag nicht vom Netzwerkdirektor selbst gestellt wird. Glauben Sie mir, er sitzt nicht auf einem Ledersessel an einem Computer, zündet sich eine kubanische Zigarre mit einer Packung Geld an und wählt einen Anwendungscode, um den Russen Geld zu stehlen.
Der Burger King-Antrag wird von der von ihnen beauftragten e-Legion- Firma gestellt, und jeder hat Zugriff auf die Bildschirmaufnahmen (ich glaube nicht, dass die Aussagen von e-Legion, dass nur Burger King-Mitarbeiter nach einer direkten Lüge Zugriff haben, was ich bewiesen habe ): und e-Legion und Burger King und alles dazwischen.
Möglicherweise arbeitet ein Student für Doshiraki und möchte leichtes Geld.
Oder vielleicht ein Angreifer, der gerade Ihre Karte gefangen und bereits ein brandneues iPhone gekauft hat.
Sie werden es nie erfahren, denn wenn dies passiert, wird der Burger King Sie wie üblich unverschämt anlügen und sagen, dass alles in Ordnung ist und im Allgemeinen - Sie sind begast.
Und es gibt keinen Ort, an dem der Ruf unten beeinträchtigt werden könnte.
Teil III.IV. Mitarbeiter, denen Menschen nicht erlaubt sein sollten.
Freche Lügen, Drohungen, Unhöflichkeit, Beleidigungen. Dies ist nur der Anfang.
Obwohl, was von einem Unternehmen mit solcher Werbung zu erwarten ist:
Und von solchen Mitarbeitern:
Achtung, matt (verschmiert - ca. Mod.)!