UPD : Pengguna Sabubu mengatakan bahwa direktur TI Burger King mulai secara terbuka mengancam penulis penyelidikan.
Entri
Investigasi pertama aplikasi Burger King menciptakan resonansi di media, dan juga muncul di atas Picabu, TJournal, dan Habrahabr.
Ternyata, orang-orang peduli memata-matai mereka.
Para peretas juga menyukai penyelidikan. Sejak dipublikasikan, puluhan serangan peretas telah dilakukan ke blog saya.
Catatan: semua tautan ke jawaban resmi dan sumber daya Burger King diarsipkan, untuk mencegah pengeditan atau penggantian posting mereka oleh administrasi Burger King setelah atau selama penulisan artikel ini.
Untuk mengarsipkan tautan, gunakan layanan archive.is yang sudah terbukti.
Semua tautan asli ada di akhir artikel ini.
Bagian I. Jawaban.
Burger King diam dan dengan berani mengabaikan pertanyaan para pelanggan selama satu hari setelah publikasi investigasi, dan menjawab hanya setelah permohonan langsung dari RosKomNadzor .
Respons seperti apa yang kita dapatkan?
II Balasan resmi Burger King VKontakte.
Kalau begitu, mari kita pisahkan.
Pertama , "Hukum Eropa tentang perlindungan data pribadi" berarti GDPR . Ini hanya berlaku untuk Uni Eropa , dan Rusia secara de facto tidak ada hubungannya dengan itu.
Burger King Rusia tidak mematuhinya .
Burger King diharuskan untuk mematuhi Undang-Undang Federal tentang Data Pribadi , tetapi seharusnya tidak .
Kedua , "kami tidak merekam."
Investigasi awal saya dengan jelas menunjukkan bahwa aplikasi Burger King tidak hanya merekam layar , tetapi melakukannya sepanjang waktu .
Termasuk - selama entri detail kartu bank.
Ketiga , "kami mendapatkan analitik anonim pada aplikasi."
Anonimitas macam apa yang terlibat jika Burger King menerima nomor telepon, nama, dan alamat surat klien (perusahaan pengembang aplikasi Burger King berbicara tentang hal ini sendiri) ketika mendaftar dan menggunakan aplikasi?
Selain itu, Burger King menyimpan data terperinci tentang setiap pengguna, yang dikonfirmasi oleh Sergey Ochetin, Direktur Proyek Digital di Burger King.
Sergey Ochetin. Direktur Proyek Digital, Burger King.
Foto dari sumber terbuka.
Sergei secara terbuka menyatakan bahwa dia "memeriksa akun saya" (setelah petunjuk eksplisit bahwa dia tahu lokasi saya; pada saat penulisan, komentar itu dihapus ) dan bahwa Burger King memiliki "log" ( catatan tindakan ) untuk setiap pengguna.
Tangkapan layar dari forum w3bsit3-dns.com.
Keempat : "atau sudah tidak mungkin membicarakannya?"
Burger King tidak pernah menjawab pertanyaan tentang pengawasan sebelum komentar ini.
Mereka mengabaikan pertanyaan - pertanyaan pelanggan mereka dan mulai menjawab hanya setelah permintaan langsung dari RosKomNadzor . (apa yang saya tulis di atas).
Di sini, Burger King berpura-pura bahwa mereka seharusnya sudah membicarakan hal ini, tetapi pada kenyataannya - tidak ada jawaban tunggal .
Tanggapan terhadap permohonan RosKomNadzor adalah yang pertama bagi mereka, dan mereka segera mencoba memanipulasi pendapat mereka dengan mengatakan "atau apakah sudah mustahil untuk membicarakan hal ini?"
Perekaman Layar - Terbukti.
Berkat argumen di atas, kita dapat menyimpulkan bahwa Burger King berbohong lagi.
I.II. "Sanggahan"
Segera setelah Burger King menjawab VKontakte, bantahan dikeluarkan oleh perusahaan pengembang aplikasi Burger King.
Mereka mengatakan itu (kutipan lebih lanjut):
- Menyembunyikan data pribadi saat merekam video untuk analitik ditulis dalam kode aplikasi. Data disembunyikan sebelum meninggalkan perangkat seluler.
- Burger King, e-Legion dan Appsee tidak memiliki akses ke data bank pengguna. Data ini tidak direkam, disimpan atau ditransfer ke pihak ketiga.
- Burger King hanya menerima nama, email, dan nomor telepon pengguna sesuai dengan Perjanjian Pengguna: burgerking.ru/legal_for_app
- Merekam video dari layar membantu mengumpulkan statistik untuk meningkatkan aplikasi.
- Appsee secara ketat mematuhi semua undang-undang yang ada tentang pekerjaan dengan data pribadi pengguna. Ini dinyatakan dalam kebijakan mereka: www.appsee.com/legal/privacypolicy
- Transfer data ke layanan analitik Appsee hanya terjadi melalui Wi-Fi dan tidak mengkonsumsi lalu lintas seluler
Mari kita melihat masing-masing item.
Poin satu - "menyembunyikan data pribadi saat merekam video untuk analisis ditulis dalam kode aplikasi, data disembunyikan sebelum meninggalkan perangkat seluler."
Menyembunyikan data pribadi tidak dijabarkan dalam kode aplikasi.
Menyembunyikan data pribadi saat merekam video adalah parameter yang diminta aplikasi setiap kali dari server jarak jauh , dan hanya setelah menerima respons ("ya" atau "tidak") apakah itu menetapkan nilai parameter untuk "menyembunyikan data pribadi" atau "tidak menyembunyikan data pribadi" .
Parameter ini dikendalikan dari jarak jauh dan Burger King dapat mengubahnya kapan saja. Sederhananya: keinginan - tidak menyembunyikan, keinginan - menyembunyikan.
Komentar Pengguna di Habr.com
Dengan demikian, kami menyimpulkan bahwa pernyataan "data disembunyikan" adalah kebohongan terang-terangan lain dari Burger King dan tim pengembangan mereka.
Poin dua - โBurger King, e-Legion dan Appsee tidak memiliki akses ke data bank pengguna. Data ini tidak direkam, disimpan atau ditransfer ke pihak ketiga. "
Seperti yang kami temukan dalam analisis paragraf pertama, data tidak disembunyikan dan tidak dienkripsi. Mereka ditransfer ke server jarak jauh dalam teks yang jelas, dan disimpan di sana.
Akses ke data ini tersedia untuk semua orang yang terkait dengan aplikasi, serta dengan metrik AppSee.
Pernyataan bahwa Burger King, e-Legion (pengembang aplikasi), dan AppSee "tidak memiliki akses ke data bank pengguna" adalah kebohongan terang-terangan lainnya .
Butir ketiga - "Burger King hanya menerima nama, email, dan nomor telepon pengguna sesuai dengan Perjanjian Pengguna."
Seperti yang kami temukan di dua paragraf pertama - Burger King memiliki akses ke rekaman layar pengguna dan informasi penagihan mereka , oleh karena itu pernyataan ini salah dan dimaksudkan untuk menyesatkan klien.
Namun, Burger King memang memiliki akses ke nama, E-Mail, dan nomor telepon pelanggan, tetapi tidak "hanya", tetapi "bersama" dengan catatan layar, kartu bank, dan ringkasan lengkap dari tindakan masing-masing pengguna.
Juga, dalam Perjanjian Pengguna
Pernyataan bahwa "Burger King hanya menerima nama pengguna, email, dan nomor telepon" adalah kebohongan terang - terangan .
Poin keempat adalah "Merekam video dari layar membantu mengumpulkan statistik untuk meningkatkan aplikasi."
Di sini kita sampai pada konfirmasi resmi rekaman layar tanpa kata-kata yang kabur.
Namun, setelah semua, dalam pernyataan resminya, Burger King mengatakan bahwa mereka tidak merekam layar! Bagaimana bisa begitu?
Dilihat oleh banyak keluhan dan ulasan pada aplikasi - sangat lambat dan tidak berfungsi dengan baik.
Tidak ada "peningkatan aplikasi".
Poin lima - "Appsee benar-benar mematuhi semua undang-undang yang ada tentang bekerja dengan data pribadi pengguna."
AppSee adalah layanan analitik, dan Burger King terus-menerus menyatakan bahwa layanan "mengikuti GDPR", namun - seperti yang telah kami jelaskan , kepatuhan terhadap GDPR tidak ada artinya bagi Rusia. Tapi dia tidak mematuhi Hukum Federal "Pada Data Pribadi" .
Jadi - lagi bohong . Bagaimanapun, AppSee tidak mematuhi undang-undang utama tentang data pribadi.
Poin enam - "Transfer data ke layanan analitik Appsee hanya terjadi melalui Wi-Fi dan tidak mengkonsumsi lalu lintas seluler."
Pengujian menunjukkan bahwa transmisi video terjadi baik melalui Wi-Fi maupun melalui jaringan seluler.
Selain itu, video tim e-Legion sendiri (pengembang aplikasi Burger King) dari pos mereka membuktikan bahwa pengunduhan juga dilakukan melalui jaringan seluler.
Tangkapan layar dari video di atas, "Seluler" - data seluler.
Dari sini kita simpulkan - kebohongan terang-terangan lainnya.
Bagian II Bukti pencatatan dan pengiriman data perbankan.
Entri
Keluhan utama bagi saya adalah saya hanya memperlihatkan tangkapan layar dari video yang saya sadap, tetapi video itu sendiri tidak.
Burger King dan Sergey secara terpisah memanfaatkan ini secara instan untuk menuduh saya diduga berbohong.
Semua yang lain mengambil hal yang sama, mulai tanpa alasan menuduh saya melakukan โdrafโ, dengan alasan bahwa saya tidak menunjukkan videonya. Itu datang untuk langsung menghina dan mengancam.
Mengapa saya tidak menunjukkan video dulu?
Jawab disiniSemuanya sederhana - saya juga seseorang :)
Pertama, saya tidak menyimpan video dengan kartu bank (saya menontonnya dari program pengawas lalu lintas, dan tidak menyimpannya), dan tangkapan layar menunjukkan dari catatan lain, yang tidak masuk akal untuk mengunggah.
Kedua, setelah melakukan investigasi pasca- asli di malam hari, saya tidak tidur. Saya lupa tentang mimpi itu dan mulai menjawab semua orang di komentar. Beberapa saat kemudian - para jurnalis menemukan penyelidikan saya, gema muncul, dan saya duduk tidak hanya menanggapi komentar, tetapi juga surat dan pesan dari jurnalis.
Saya duduk untuk waktu yang sangat lama, dan akan duduk.
Tapi sayangnya, saya tidak memiliki tombol "matikan tidur dan jawab semua orang", jadi saya pergi tidur.
Ketika saya bangun dari tumpukan notifikasi di ponsel saya, saya setengah sadar bahwa mereka menginginkan video dari saya.
Dan mereka tidak hanya ingin, tetapi ingin dengan penghinaan, dengan ancaman, dengan kekasaran.
Saya pikir reaksi saya terhadap tuntutan seperti itu di malam hari sudah jelas - setelah mengirim semua boor menghina saya, saya pergi tidur lebih jauh.
Dan orang-orang yang menyirami saya dengan air kotor tampaknya berpikir bahwa saya wajib berlari untuk melakukan sesuatu pada klik pertama jari-jari saya. Tidak, sungguh
Pada titik tertentu, saya memutuskan untuk mengirim semuanya dan tidak melakukan apa pun (penghinaan tidak menambah keinginan untuk melakukan sesuatu). Tetapi, saya memutuskan untuk membuktikan bahwa saya benar.
Ketika saya bangun, saya ingat bahwa saya perlu membuat video. Berhasil :)
Bagian II.I. Video aplikasi
Video ini dicegat oleh saya dari salinan lalu lintas aplikasi Burger King untuk iOS (versi 2.2.0 - terbaru).
Video tidak diubah dengan cara apa pun, lalu lintas dan kode aplikasi tidak berubah .
Seperti yang Anda lihat, detail kartu bank tidak disembunyikan.
Kolom input untuk ponsel, email, nama, dan keyboard juga tidak disembunyikan.
Juga, di awal video, saya menghapus konfirmasi perjanjian dengan aturan penggunaan, tetapi perekaman video tidak berhenti dan masih pergi ke server.
Bagian II.II. Informasi teknis
Dalam hal parameter (resolusi, FPS, bitrate) - video saya sepenuhnya bertepatan dengan video yang dirujuk oleh tim pengembangan aplikasi Burger King di posnya , yang menyatakan bahwa bidang entri data "dilukis".
Video direferensikan oleh tim pengembangan aplikasi Burger King
Bagian II.III. Mengapa video saya nyata.
Saya ingin mencatat bukti yang sangat penting bahwa video saya benar-benar dari aplikasi: tidak menunjukkan bilah status (garis dengan tingkat sinyal seluler, waktu, muatan baterai), alih-alih ada tempat kosong.
Bandingkan sendiri:
Di sebelah kiri adalah entri saya, di sebelah kanan adalah screenshot aplikasi resmi
Video semacam itu hanya dapat direkam oleh aplikasi itu sendiri.
Mengapa
Di iPhone (yaitu, di atasnya, saya meluncurkan aplikasi) - tidak mungkin menyembunyikan bilah status saat menggunakan alat OS untuk merekam tampilan (dan yang lainnya tidak ada).
Di iPhone saya tidak ada jailbreak (peretasan OS) dan versi terbaru iOS diinstal, jadi saya tidak punya cara untuk menyembunyikan bilah status atau menggunakan aplikasi pihak ketiga untuk merekam layar.
Oleh karena itu, satu-satunya cara untuk mendapatkan catatan semacam itu adalah aplikasi merekam sendiri, karena di iOS tidak dapat merekam elemen sistem kecuali keyboard.
Juga membandingkan bilah status kosong pada catatan yang disediakan oleh Burger King, dan di video saya. Mereka bertepatan, bukan.
Bagian III. Kesimpulan
Bagian III.I. Ringkasan
Apa yang kita miliki pada akhirnya?
Setiap titik "sanggahan" Burger King - saya telah hancur berkeping-keping.
Berikut adalah bukti kebohongan langsung Burger King.
Bagian III.II. Verifikasi oleh RosKomNadzor
Saya (dan banyak orang) ingin RosKomNadzor memeriksa Burger King mengenai perlakuan tidak aman dan acuh tak acuh terhadap data pribadi dan kartu bank pelanggan.
Dan agar ini tidak terbatas pada pos di VK dengan memasics, tetapi pemeriksaan serius.
Bagian III.III. Mengapa kartu burger king saya?
Pertanda Pertanyaan:
"Mengapa Burger King mencuri detail kartu pembayaran?" Mereka sudah kaya, dan mencuri kartu akan merusak reputasi mereka. " (kutipan dari pertanyaan nyata di forum)
- Saya akan menjawab:
Faktanya adalah bahwa aplikasi Burger King tidak dibuat oleh direktur jaringan sendiri. Percayalah, dia tidak duduk di kursi kulit di depan komputer, menyalakan cerutu Kuba dengan paket dolar dan memutar kode aplikasi untuk mencuri uang dari Rusia.
Aplikasi Burger King dibuat oleh perusahaan e-Legion yang mereka sewa, dan semua orang memiliki akses ke rekaman layar (saya tidak percaya pernyataan e-Legion bahwa hanya karyawan Burger King yang memiliki akses setelah kebohongan langsung , yang saya buktikan ): dan e-Legion , dan Burger King, dan semuanya di antaranya.
Mungkin ada siswa yang bekerja untuk doshiraki, dan menginginkan uang mudah.
Atau mungkin penyerang yang sekarang menangkap kartu Anda dan sudah membeli iPhone baru.
Anda tidak akan pernah tahu, karena jika ini terjadi, Burger King akan, seperti biasa, dengan ceroboh berbohong kepada Anda dan mengatakan bahwa semuanya โbaik-baik saja, dan secara umum -โ Anda difumigasi โ.
Dan tidak ada tempat untuk merusak reputasi di bawah ini.
Bagian III.IV. Karyawan yang seharusnya tidak diizinkan untuk orang.
Kebohongan, ancaman, kekasaran yang kurang ajar, penghinaan. Ini baru permulaan.
Meskipun apa yang diharapkan dari perusahaan dengan iklan tersebut:
Dan oleh karyawan tersebut:
Perhatian, mat (dioleskan - kira-kira Mod.)!