UPD : L'utilisateur Sabubu a déclaré que le directeur informatique de Burger King avait commencé à menacer publiquement l'auteur de l'enquête.
Entrée
La première enquête sur l'application Burger King a créé une résonance dans les médias et est également apparue au sommet de Picabu, TJournal et Habrahabr.
En fait, les gens se soucient de les espionner.
Les pirates ont également apprécié l'enquête. Depuis sa publication, des dizaines d'attaques de pirates ont été commises sur mon blog.
Remarque: tous les liens vers les réponses et ressources officielles de Burger King sont archivés, afin d'empêcher la modification ou la substitution de leurs messages par l'administration Burger King après ou pendant la rédaction de cet article.
Pour archiver des liens, utilisez le service archive.is éprouvé.
Tous les liens originaux se trouvent à la fin de cet article.
Partie I. Réponses.
Burger King est resté silencieux et a ignoré effrontément les questions de ses clients pendant toute une journée après la publication de l'enquête, et n'a répondu qu'après un appel direct de RosKomNadzor .
Quel genre de réponse avons-nous obtenu?
II Réponse officielle Burger King VKontakte.
Eh bien, démontons-le.
Premièrement , «la loi européenne sur la protection des données personnelles» signifie le RGPD . Il n'est valable que pour l'Union européenne , et la Russie n'a de facto rien à voir avec cela.
Le Burger King russe ne lui obéit pas .
Burger King est tenu de se conformer à la loi fédérale sur les données personnelles , mais ce n'est pas le cas .
Deuxièmement , «nous n'enregistrons pas».
Mon enquête initiale montre clairement que l'application Burger King n'enregistre pas seulement l'écran , mais le fait tout le temps .
Y compris - lors de la saisie des coordonnées bancaires.
Troisièmement , "nous obtenons des analyses anonymisées sur l'application."
Quel type d'anonymat est impliqué si Burger King reçoit le numéro de téléphone, le nom et l'adresse postale du client (la société de développement d'applications Burger King en parle elle - même) lors de l'enregistrement et de l'utilisation de l'application?
En outre, Burger King stocke des données détaillées sur chaque utilisateur, ce qui est confirmé par Sergey Ocheretin, directeur des projets numériques chez Burger King.
Sergey Ochérétine. Directeur des projets numériques, Burger King.
Photo provenant de sources ouvertes.
Sergei a déclaré ouvertement qu'il avait "vérifié mes comptes" (après un indice explicite qu'il connaissait ma position; au moment de la rédaction, le commentaire a été supprimé ) et que Burger King a des "journaux" ( enregistrement des actions ) pour chaque utilisateur.
Capture d'écran du forum w3bsit3-dns.com.
Quatrièmement : "ou est-il déjà impossible d'en parler?"
Burger King n'a jamais répondu aux questions sur la surveillance avant ce commentaire.
Ils ont ignoré insolemment les questions de leurs clients et n'ont commencé à répondre qu'après l' appel direct de RosKomNadzor . (ce que j'ai écrit ci-dessus).
Ici, Burger King prétend qu'ils auraient déjà parlé de cela, mais en fait - il n'y avait pas une seule réponse .
La réponse à l' appel de RosKomNadzor est la première de leur histoire, et ils essaient immédiatement de manipuler leurs opinions en disant "ou est-il déjà impossible d'en parler?"
Enregistrement d'écran - Prouvé.
Grâce aux arguments ci-dessus, nous pouvons conclure que Burger King ment à nouveau.
I.II. "Réfutation"
Peu de temps après que Burger King ait répondu à VKontakte, une réfutation a été émise par la société de développement d'applications Burger King.
Ils disent que (nouvelle citation):
- Le masquage des données personnelles lors de l'enregistrement de vidéos à des fins d'analyse est écrit dans le code d'application. Les données sont masquées avant de quitter l'appareil mobile.
- Burger King, e-Legion et Appsee n'ont pas accès aux données bancaires des utilisateurs. Ces données ne sont pas enregistrées, stockées ou transférées à des tiers.
- Burger King ne reçoit que le nom, l'adresse e-mail et le numéro de téléphone de l'utilisateur conformément à l'accord d'utilisation: burgerking.ru/legal_for_app
- L'enregistrement vidéo à partir des écrans permet de collecter des statistiques afin d'améliorer l'application.
- Appsee adhère strictement à toutes les lois existantes sur le travail avec les données personnelles des utilisateurs. Cela est indiqué dans leur politique: www.appsee.com/legal/privacypolicy
- Le transfert de données vers le service d'analyse Appsee s'effectue uniquement via Wi-Fi et ne consomme pas de trafic mobile
Passons en revue chacun des éléments.
Premier point - "masquer les données personnelles lors de l'enregistrement de vidéos à des fins d'analyse est écrit dans le code d'application, les données sont masquées avant de quitter l'appareil mobile."
Masquer les données personnelles n'est pas précisé dans le code d'application.
Masquer les données personnelles lors de l'enregistrement vidéo est un paramètre que l'application demande à chaque fois à un serveur distant , et ce n'est qu'après avoir reçu une réponse («oui» ou «non») qu'elle définit la valeur du paramètre pour «masquer les données personnelles» ou «ne pas masquer les données personnelles» .
Ce paramètre est contrôlé à distance et Burger King peut le modifier à tout moment. Autrement dit: veut - ne se cache pas, veut - se cache.
Commentaires des utilisateurs sur Habr.com
Ainsi, nous concluons que la déclaration «les données sont cachées» est un autre mensonge flagrant de la part de Burger King et de leur équipe de développement.
Point deux - «Burger King, e-Legion et Appsee n'ont pas accès aux données bancaires des utilisateurs. Ces données ne sont pas enregistrées, stockées ou transférées à des tiers. »
Comme nous l'avons constaté dans l'analyse du premier paragraphe, les données ne sont ni cachées ni cryptées. Ils sont transférés sur le serveur distant en texte clair et y sont stockés.
L'accès à ces données est accessible à toutes les personnes associées à l'application, ainsi qu'à la métrique AppSee.
La déclaration selon laquelle Burger King, e-Legion (développeur d'applications) et AppSee «n'ont pas accès aux données bancaires des utilisateurs» est un autre mensonge flagrant .
Troisième point - "Burger King ne reçoit que le nom, l'adresse e-mail et le numéro de téléphone de l'utilisateur conformément au contrat d'utilisation."
Comme nous l'avons découvert dans les deux premiers paragraphes - Burger King a accès aux enregistrements d'écran des utilisateurs et à leurs informations de facturation , par conséquent, cette déclaration est fausse et vise à induire le client en erreur.
Cependant, Burger King a accès aux noms, e-mails et numéros de téléphone des clients, mais pas «seulement», mais «ensemble» avec des enregistrements d'écrans, de cartes bancaires et un résumé complet des actions de chaque utilisateur.
Aussi, dans l'accord d'utilisation
La déclaration selon laquelle «Burger King ne reçoit que le nom, l'adresse e-mail et le numéro de téléphone de l'utilisateur» est un mensonge flagrant .
Le quatrième point est «L'enregistrement de vidéos à partir d'écrans permet de collecter des statistiques afin d'améliorer l'application.»
Nous arrivons ici à la confirmation officielle de l'enregistrement d'écran sans formulation vague.
Cependant, après tout, dans sa déclaration officielle, Burger King a déclaré qu'ils n'avaient pas enregistré l'écran! Comment ça?
A en juger par les nombreuses plaintes et critiques sur l'application - elle est très lente et ne fonctionne pas bien.
Il n'y a pas "d'amélioration de l'application".
Point cinq - "Appsee adhère strictement à toutes les lois existantes sur l'utilisation des données personnelles des utilisateurs."
AppSee est un service d'analyse, et Burger King déclare constamment que le service "suit le RGPD" - comme nous l'avons déjà expliqué , la conformité au RGPD ne signifie rien pour la Russie. Mais il n'obéit pas à la loi fédérale "sur les données personnelles" .
Donc - encore un mensonge . Après tout, AppSee n'obéit pas à la loi principale sur les données personnelles.
Point six - «Le transfert de données vers le service d'analyse Appsee s'effectue uniquement via le Wi-Fi et ne consomme pas de trafic mobile.»
Les tests ont montré que la transmission vidéo se produit à la fois sur Wi-Fi et sur un réseau cellulaire.
De plus, la propre vidéo de l'équipe e-Legion (développeur de l'application Burger King) de son article prouve que le téléchargement a également lieu sur le réseau cellulaire.
Capture d'écran de la vidéo ci-dessus, "Cellulaire" - données cellulaires.
Nous en concluons - un autre mensonge flagrant .
Partie II Preuve d'enregistrement et de transmission de données bancaires.
Entrée
Le principal reproche que je ferais, c'est que je n'ai montré qu'une capture d'écran de la vidéo que j'ai interceptée, mais pas la vidéo elle-même.
Burger King et Sergey en ont profité séparément pour m'accuser de mensonge présumé.
Tous les autres ont repris la même chose, commençant à m'accuser sans fondement d'un "brouillon", arguant que je n'avais pas montré la vidéo. Il s'agissait de diriger des insultes et des menaces.
Pourquoi n'ai-je pas montré la vidéo en premier?
Répondez iciTout est simple - je suis aussi une personne :)
Premièrement, je n'ai pas enregistré la vidéo avec des cartes bancaires (je l'ai regardée depuis le programme d'inspection du trafic, et je ne l'ai pas enregistrée), et la capture d'écran a été montrée à partir d'un autre enregistrement, qui n'avait pas de sens à télécharger.
Deuxièmement, après avoir fait la post-enquête initiale la nuit, je ne me suis pas endormi. J'ai oublié le rêve et j'ai commencé à répondre à tout le monde dans les commentaires. Un peu plus tard - les journalistes ont découvert mon enquête, la résonance est apparue et je me suis assis non seulement pour répondre aux commentaires, mais aussi aux lettres et aux messages des journalistes.
Je suis resté assis très longtemps et je me serais assis.
Mais hélas, je n'ai pas le bouton «désactiver le sommeil et répondre à tout le monde», alors je me suis endormi.
Quand je me suis réveillé du tas de notifications sur mon téléphone, j'ai à moitié vu qu'ils voulaient une vidéo de moi.
Et ils ne veulent pas seulement, mais ils veulent des insultes, des menaces, de l'impolitesse.
Je pense que ma réaction à de telles demandes la nuit était évidente - après avoir envoyé tous les railleries m'insulter, je suis allé me coucher plus loin.
Et les gens qui m'arrosaient avec du slop pensaient apparemment que j'étais obligé de courir pour faire quelque chose au premier clic de mes doigts. Non, vraiment.
À un moment donné, j'ai décidé d'envoyer tout et de ne rien faire du tout (les insultes n'ajoutent pas le désir de faire quelque chose). Mais, j'ai décidé de prouver quand même que j'avais raison.
Quand je me suis réveillé, je me suis souvenu que je devais faire une vidéo. L'a fait. :)
Partie II.I. Vidéo d'application
Cette vidéo a été interceptée par moi à partir d'une copie du trafic de l'application Burger King pour iOS (version 2.2.0 - la dernière).
La vidéo n'a été modifiée en aucune façon, le trafic et le code d'application n'ont pas changé .
Comme vous pouvez le voir, les détails de la carte bancaire ne sont pas cachés.
Les champs de saisie pour le téléphone, l'e-mail, le nom et le clavier ne sont pas non plus masqués.
De plus, au début de la vidéo, j'ai retiré la confirmation d'accord avec les règles d'utilisation, mais l'enregistrement vidéo ne s'est pas arrêté et il est toujours allé au serveur.
Partie II.II. Information technique
En termes de paramètres (résolution, FPS, bitrate) - ma vidéo coïncide complètement avec la vidéo référencée par l'équipe de développement d'applications Burger King dans son article , indiquant que les champs de saisie de données sont «repeints».
Vidéo référencée par l'équipe de développement de l'application Burger King
Partie II.III. Pourquoi ma vidéo est-elle réelle?
Je veux noter une preuve très importante que ma vidéo est vraiment de l'application: elle n'affiche pas la barre d'état (lignes avec le niveau du signal cellulaire, l'heure, la charge de la batterie), au lieu de cela il y a une place vide.
Comparez par vous-même:
À gauche, mon entrée, à droite, la capture d'écran de l'application officielle
Une telle vidéo ne peut être enregistrée que par l'application elle-même.
Pourquoi?
Sur l'iPhone (à savoir, j'ai lancé l'application) - il est impossible de masquer la barre d'état lors de l'utilisation des outils du système d'exploitation pour enregistrer l'affichage (et d'autres n'existent pas).
Sur mon iPhone, il n'y a pas de jailbreak (hacking OS) et la dernière version d'iOS est installée, donc je n'ai aucun moyen de masquer la barre d'état ou d'utiliser une application tierce pour enregistrer l'écran.
Par conséquent, la seule façon d'obtenir un tel enregistrement est que l'application s'enregistre elle-même, car sur iOS, elle ne peut pas enregistrer les éléments du système, sauf le clavier.
Comparez également les barres d'état vides sur les enregistrements fournis par Burger King et sur ma vidéo. Ils coïncident, ils ne le sont pas.
Partie III. Conclusion
Partie III.I. Résumé
Qu'avons-nous finalement?
Chaque point de la «réfutation» de Burger King - j'ai été brisé en miettes.
Voici la preuve des mensonges directs de Burger King.
Partie III.II. Vérification par RosKomNadzor
Je (et beaucoup de gens) aimerais que RosKomNadzor vérifie Burger King concernant leur traitement peu sûr et indifférent des données personnelles et des cartes bancaires des clients.
Et pour que cela ne se limite pas à un poste en VK avec des mémos, mais à un contrôle sérieux.
Partie III.III. Pourquoi mes cartes Burger King?
Préfigurant la question:
"Pourquoi Burger King volerait-il les détails de sa carte de paiement?" Ils sont déjà riches et voler des cartes va gâcher leur réputation. » (citation d'une vraie question sur le forum)
- Je répondrai:
Le fait est que l'application Burger King n'est pas faite par le directeur du réseau lui-même. Croyez-moi, il n'est pas assis sur une chaise en cuir à un ordinateur, allumant un cigare cubain avec un paquet de dollars et composant un code d'application pour voler de l'argent aux Russes.
La demande de Burger King est faite par la société e-Legion qu'ils ont embauchée, et tout le monde a accès aux enregistrements d'écran (je ne crois pas aux déclarations d'e-Legion auxquelles seuls les employés de Burger King ont accès après un mensonge direct , ce que j'ai prouvé ): et e-Legion et Burger King, et tout le reste.
Il y a peut-être un étudiant qui travaille pour doshiraki et qui veut de l'argent facile.
Ou peut-être un attaquant qui a attrapé votre carte et a déjà acheté un tout nouvel iPhone.
Vous ne le saurez jamais, car si cela se produit, le Burger King vous mentra, comme d'habitude, impudemment et vous dira que tout va bien et, en général, vous êtes fumigé.
Et il n'y a nulle part où gâcher la réputation ci-dessous.
Partie III.IV. Les employés qui ne devraient pas être autorisés à des personnes.
Mensonges impudents, menaces, impolitesse, insultes. Ce n'est que le début.
Bien à quoi s'attendre d'une entreprise avec une telle publicité:
Et par ces employés:
Attention, mat (barbouillé - env. Mod.)!