UPD : El usuario Sabubu dijo que el director de TI de Burger King comenzó a amenazar públicamente al autor de la investigación.
Entrada
La primera investigación de la aplicación Burger King creó una resonancia en los medios y también apareció en la parte superior de Picabu, TJournal y Habrahabr.
Al final resultó que, la gente se preocupa por espiarlos.
A los piratas informáticos también les gustó la investigación. Desde su publicación, se han cometido docenas de ataques de hackers en mi blog.
Nota: todos los enlaces a respuestas y recursos oficiales de Burger King están archivados, para evitar la edición o sustitución de sus publicaciones por parte de la administración de Burger King después o durante la redacción de este artículo.
Para archivar enlaces, utilice el servicio probado archive.is .
Todos los enlaces originales están al final de este artículo.
Parte I. Respuestas.
Burger King guardó silencio e ignoró descaradamente las preguntas de sus clientes durante todo un día después de la publicación de la investigación, y respondió solo después de una apelación directa de RosKomNadzor .
¿Qué tipo de respuesta obtuvimos?
II Respuesta oficial Burger King VKontakte.
Pues bien, desarmemoslo.
En primer lugar , "ley europea sobre la protección de datos personales" significa GDPR . Es válido solo para la Unión Europea , y Rusia de facto no tiene nada que ver con eso.
El Burger King ruso no le obedece .
Burger King debe cumplir con la Ley Federal de Datos Personales , pero no debe hacerlo .
En segundo lugar , "no estamos grabando".
Mi investigación original muestra claramente que la aplicación Burger King no solo graba la pantalla , sino que lo hace todo el tiempo .
Incluyendo - durante la entrada de datos de la tarjeta bancaria.
En tercer lugar , "obtenemos análisis anónimos de la aplicación".
¿Qué tipo de anonimato está involucrado si Burger King recibe el número de teléfono, el nombre y la dirección postal del cliente (la empresa de desarrollo de aplicaciones Burger King habla sobre esto ella misma) cuando se registra y usa la aplicación?
Además, Burger King almacena datos detallados sobre cada usuario, lo cual es confirmado por Sergey Ocheretin, Director de Proyectos Digitales en Burger King.
Sergey Ocheretin. Director de Proyectos Digitales, Burger King.
Foto de fuentes abiertas.
Sergei declaró abiertamente que "verificó mis cuentas" (después de una sugerencia explícita de que conocía mi ubicación; en el momento de escribir este artículo, el comentario fue eliminado ) y que Burger King tiene "registros" (registros de acciones ) para cada usuario.
Captura de pantalla del foro w3bsit3-dns.com.
Cuarto : "¿o ya es imposible hablar de eso?"
Burger King nunca ha respondido preguntas sobre vigilancia antes de este comentario.
Insolentemente ignoraron las preguntas de sus clientes y comenzaron a responder solo después del atractivo directo de RosKomNadzor . (Lo que escribí arriba).
Aquí, Burger King finge que supuestamente ya hablaron sobre esto, pero de hecho, no hubo una sola respuesta .
La respuesta a la apelación de RosKomNadzor es su primera vez, e inmediatamente tratan de manipular sus opiniones diciendo "¿o ya es imposible hablar de esto?"
Grabación de pantalla - Probada.
Gracias a los argumentos anteriores, podemos concluir que Burger King está mintiendo nuevamente.
I.II. "Refutación"
Poco después de que Burger King respondiera a VKontakte, la compañía de desarrollo de aplicaciones Burger King emitió una refutación.
Dicen que (cita adicional):
- Ocultar datos personales al grabar video para análisis está escrito en el código de la aplicación. Los datos están ocultos antes de abandonar el dispositivo móvil.
- Burger King, e-Legion y Appsee no tienen acceso a los datos bancarios de los usuarios. Estos datos no se registran, almacenan ni transfieren a terceros.
- Burger King recibe solo el nombre, correo electrónico y número de teléfono del usuario de acuerdo con el Acuerdo de usuario: burgerking.ru/legal_for_app
- La grabación de video desde las pantallas ayuda a recopilar estadísticas para mejorar la aplicación.
- Appsee se adhiere estrictamente a todas las leyes existentes sobre el trabajo con datos personales de los usuarios. Esto se afirma en su política: www.appsee.com/legal/privacypolicy
- La transferencia de datos al servicio de análisis de Appsee se realiza solo a través de Wi-Fi y no consume tráfico móvil
Repasemos cada uno de los elementos.
Punto uno : "ocultar datos personales cuando se graba video para análisis se escribe en el código de la aplicación, los datos se ocultan antes de abandonar el dispositivo móvil".
Ocultar datos personales no se detalla en el código de la aplicación.
Ocultar datos personales al grabar video es un parámetro que la aplicación solicita cada vez a un servidor remoto , y solo después de recibir una respuesta ("sí" o "no") establece el valor del parámetro para "ocultar datos personales" o "no ocultar datos personales" .
Este parámetro se controla de forma remota y Burger King puede cambiarlo en cualquier momento. En pocas palabras: quiere - no se esconde, quiere - se esconde.
Comentarios de usuarios en Habr.com
Por lo tanto, concluimos que la afirmación "los datos están ocultos" es otra mentira flagrante de Burger King y su equipo de desarrollo.
Punto dos : “Burger King, e-Legion y Appsee no tienen acceso a los datos bancarios de los usuarios. Estos datos no se registran, almacenan ni transfieren a terceros ".
Como descubrimos en el análisis del primer párrafo, los datos no están ocultos ni encriptados. Se transfieren al servidor remoto en texto claro y se almacenan allí.
El acceso a estos datos está disponible para todos los asociados con la aplicación, así como con la métrica AppSee.
La afirmación de que Burger King, e-Legion (desarrollador de aplicaciones) y AppSee "no tienen acceso a los datos bancarios de los usuarios" es otra mentira descarada .
Punto tres : "Burger King recibe solo el nombre, el correo electrónico y el número de teléfono del usuario de conformidad con el Acuerdo de usuario".
Como descubrimos en los primeros dos párrafos: Burger King tiene acceso a las grabaciones de pantalla del usuario y su información de facturación , por lo tanto, esta declaración es falsa y tiene la intención de engañar al cliente.
Sin embargo, Burger King tiene acceso a los nombres, correos electrónicos y números de teléfono de los clientes, pero no "solo", sino "junto" con registros de pantallas, tarjetas bancarias y un resumen completo de las acciones de cada usuario.
Además, en el Acuerdo de usuario
La afirmación de que "Burger King recibe solo el nombre del usuario, el correo electrónico y el número de teléfono" es una mentira descarada .
El cuarto punto es "La grabación de video desde pantallas ayuda a recopilar estadísticas para mejorar la aplicación".
Aquí llegamos a la confirmación oficial de la grabación de pantalla sin una redacción vaga.
Sin embargo, después de todo, en su declaración oficial, Burger King dijo que no grabaron la pantalla. ¿Cómo es eso?
A juzgar por las numerosas quejas y comentarios sobre la aplicación, es muy lenta y no funciona bien.
No hay "mejora de la aplicación".
Punto cinco : "Appsee se adhiere estrictamente a todas las leyes existentes sobre el trabajo con datos personales de los usuarios".
AppSee es un servicio de análisis, y Burger King constantemente declara que el servicio "sigue el RGPD", sin embargo, como ya hemos explicado , el cumplimiento del RGPD no significa nada para Rusia. Pero no obedece la Ley Federal "sobre datos personales" .
Entonces, de nuevo una mentira . Después de todo, AppSee no obedece la ley principal sobre datos personales.
Punto seis : "La transferencia de datos al servicio de análisis de Appsee se produce solo a través de Wi-Fi y no consume tráfico móvil".
Las pruebas mostraron que la transmisión de video ocurre tanto a través de Wi-Fi como a través de una red celular.
Además, el video del equipo de e-Legion (desarrollador de la aplicación Burger King) de su publicación demuestra que la descarga también se realiza a través de la red celular.
Captura de pantalla del video de arriba, "Celular" - datos celulares.
De esto concluimos: otra mentira descarada .
Parte II Prueba de registro y transmisión de datos bancarios.
Entrada
La principal queja para mí fue que solo mostré una captura de pantalla del video que intercepté, pero el video en sí no.
Burger King y Sergey se aprovecharon de esto al instante para acusarme de supuestamente mentir.
Todos los demás recogieron lo mismo, comenzando a acusarme sin fundamento de un "borrador", argumentando que no mostré el video. Se trataba de insultos y amenazas directas.
¿Por qué no mostré el video primero?
Responde aquiTodo es simple, también soy una persona :)
En primer lugar, no guardé el video con tarjetas bancarias (lo vi desde el programa del inspector de tráfico y no lo guardé), y la captura de pantalla se mostró desde otro registro, que no tenía sentido cargar.
En segundo lugar, después de haber realizado la investigación original por la noche, no me dormí. Olvidé el sueño y comencé a responder a todos en los comentarios. Un poco más tarde: los periodistas descubrieron mi investigación, surgió la resonancia y me senté no solo respondiendo a los comentarios, sino también a las cartas y mensajes de los periodistas.
Me senté durante tanto tiempo y me hubiera sentado.
Pero, por desgracia, no tengo el botón "apagar y responder a todos", así que me fui a dormir.
Cuando me desperté del montón de notificaciones en mi teléfono, casi vi que querían un video mío.
Y no solo quieren, sino que quieren con insultos, con amenazas, con grosería.
Creo que mi reacción a tales demandas por la noche fue obvia: después de haber insultado a todos los aburridos, me fui a la cama más.
Y las personas que me estaban regando con agua aparentemente pensaron que estaba obligado a correr para hacer algo con el primer clic de mis dedos. No realmente.
En algún momento, decidí enviar todo y no hacer nada (los insultos no agregan el deseo de hacer algo). Pero, sin embargo, decidí demostrar que tenía razón.
Cuando desperté, recordé que necesitaba hacer un video. Lo hice :)
Parte II.I. Video de aplicación
Este video fue interceptado por mí desde una copia del tráfico de la aplicación Burger King para iOS (versión 2.2.0 - la última).
El video no fue modificado de ninguna manera, el tráfico y el código de la aplicación no cambiaron .
Como puede ver, los detalles de la tarjeta bancaria no están ocultos.
Los campos de entrada para teléfono, correo electrónico, nombre y teclado tampoco están ocultos.
Además, al comienzo del video, eliminé la confirmación de acuerdo con las reglas de uso, pero la grabación del video no se detuvo y aún fue al servidor.
Parte II.II. Informacion tecnica
En términos de parámetros (resolución, FPS, velocidad de bits): mi video coincide completamente con el video al que hace referencia el equipo de desarrollo de aplicaciones de Burger King en su publicación , indicando que los campos de entrada de datos están "pintados".
Video referenciado por el equipo de desarrollo de aplicaciones de Burger King
Parte II.III. ¿Por qué mi video es real?
Quiero señalar una prueba muy importante de que mi video es realmente de la aplicación: no muestra la barra de estado (líneas con el nivel de la señal celular, la hora, la carga de la batería), en lugar de eso hay un lugar vacío.
Compara por ti mismo:
A la izquierda está mi entrada, a la derecha está la captura de pantalla oficial de la aplicación.
Tal video solo puede ser grabado por la aplicación misma.
Por qué
En el iPhone (es decir, en él, inicié la aplicación): es imposible ocultar la barra de estado cuando utilizo las herramientas del sistema operativo para grabar la pantalla (y otras no existen).
En mi iPhone no hay jailbreak (pirateo del sistema operativo) y la última versión de iOS está instalada, por lo que no tengo forma de ocultar la barra de estado o usar una aplicación de terceros para grabar la pantalla.
Por lo tanto, la única forma de obtener dicho registro es que la aplicación se grabe a sí misma, ya que en iOS no puede grabar elementos del sistema excepto el teclado.
También compare las barras de estado vacías en los registros proporcionados por Burger King y en mi video. Coinciden, no lo son.
Parte III Conclusión
Parte III.I. Resumen
¿Qué tenemos al final?
Cada punto de la "refutación" de Burger King, me han hecho pedazos.
Aquí hay evidencia de las mentiras directas de Burger King.
Parte III.II. Verificación por RosKomNadzor
A mí (y a muchas personas) me gustaría que RosKomNadzor verificara a Burger King sobre su tratamiento inseguro e indiferente de los datos personales y las tarjetas bancarias de los clientes.
Y para que esto no se limite a una publicación en VK con memasics, sino a un control serio.
Parte III.III. ¿Por qué mis tarjetas de Burger King?
Presagiando la pregunta:
"¿Por qué Burger King robaría los datos de la tarjeta de pago?" Ya son ricos, y robar cartas arruinará su reputación ". (cita de una pregunta real en el foro)
- Contestaré:
El hecho es que la aplicación Burger King no está hecha por el propio director de la red. Créeme, él no se sienta en una silla de cuero frente a una computadora, enciende un cigarro cubano con un paquete de dólares y marca un código de solicitud para robar dinero de los rusos.
La aplicación Burger King está hecha por la compañía e-Legion que contrataron, y todos tienen acceso a las grabaciones de pantalla (no creo que las declaraciones de e-Legion de que solo los empleados de Burger King tengan acceso después de una mentira directa , que probé ): y e-Legion , y Burger King, y todo lo demás.
Puede haber un estudiante trabajando para doshiraki y queriendo dinero fácil.
O tal vez un atacante que ahora atrapó su tarjeta y ya compró un iPhone nuevo.
Nunca lo sabrás, porque si esto sucede, el Burger King, como siempre, te mentirá descaradamente y dirá que todo está “bien, y en general,“ estás fumigado ”.
Y no hay ningún lugar para estropear la reputación a continuación.
Parte III.IV. Empleados que no deberían ser permitidos a las personas.
Mentiras imprudentes, amenazas, grosería, insultos. Esto es solo el comienzo.
Aunque qué esperar de una empresa con tal publicidad:
Y por tales empleados:
¡Atención, esterilla (manchada - aprox. Mod.)!