UPD : O usuário Sabubu disse que o diretor de TI do Burger King começou a ameaçar publicamente o autor da investigação.
Entrada
A primeira investigação do aplicativo Burger King criou uma ressonância na mídia e também apareceu no topo de Picabu, TJournal e Habrahabr.
Como se viu, as pessoas se preocupam em espioná-las.
Os hackers também gostaram da investigação. Desde a sua publicação, dezenas de ataques de hackers foram cometidos no meu blog.
Nota: todos os links para respostas e recursos oficiais do Burger King são arquivados, a fim de impedir a edição ou substituição de seus posts pela administração do Burger King após ou durante a redação deste artigo.
Para arquivar links, use o serviço archive.is comprovado.
Todos os links originais estão no final deste artigo.
Parte I. Respostas.
O Burger King ficou em silêncio e descaradamente ignorou as perguntas de seus clientes por um dia inteiro após a publicação da investigação, e respondeu apenas após um apelo direto da RosKomNadzor .
Que tipo de resposta recebemos?
II Resposta oficial Burger King VKontakte.
Bem, então, vamos desmontar.
Em primeiro lugar , "lei europeia sobre proteção de dados pessoais" significa RGPD . É válido apenas para a União Europeia , e a Rússia de fato não tem nada a ver com isso.
O Burger King russo não o obedece .
O Burger King deve cumprir a Lei Federal de Dados Pessoais , mas não deve .
Em segundo lugar , "não estamos gravando".
Minha investigação original mostra claramente que o aplicativo Burger King não apenas grava a tela , mas o faz o tempo todo .
Incluindo - durante a entrada dos detalhes do cartão bancário.
Em terceiro lugar , "obtemos análises anônimas no aplicativo".
Que tipo de anonimato está envolvido se o Burger King receber o número de telefone, nome e endereço do cliente (a empresa de desenvolvimento de aplicativos Burger King fala sobre isso ela mesma) ao registrar e usar o aplicativo?
Além disso, o Burger King armazena dados detalhados sobre cada usuário, o que é confirmado por Sergey Ocheretin, diretor de projetos digitais do Burger King.
Sergey Ocheretin. Diretor de Projetos Digitais, Burger King.
Foto de fontes abertas.
Sergei declarou abertamente que ele "checou minhas contas" (após uma dica explícita de que ele sabia minha localização; no momento em que este artigo foi escrito, o comentário foi excluído ) e que o Burger King tem "logs" (logs de ação ) para cada usuário.
Captura de tela do fórum w3bsit3-dns.com.
Quarto : "ou já é impossível falar sobre isso?"
O Burger King nunca respondeu a perguntas sobre vigilância antes deste comentário.
Ignoraram insolentemente as perguntas de seus clientes e começaram a responder somente após o apelo direto da RosKomNadzor . (o que escrevi acima).
Aqui, o Burger King finge que eles supostamente já conversaram sobre isso, mas na verdade - não havia uma única resposta .
A resposta ao apelo de RosKomNadzor é a sua primeira vez, e eles imediatamente tentam manipular suas opiniões dizendo "ou já é impossível falar sobre isso?"
Gravação de tela - comprovada.
Graças aos argumentos acima, podemos concluir que o Burger King está mentindo novamente.
I.II. "Refutação"
Logo após o Burger King responder à VKontakte, uma réplica foi emitida pela empresa de desenvolvimento de aplicativos Burger King.
Eles dizem que (citação adicional):
- Ocultar dados pessoais durante a gravação de vídeo para análise é gravado no código do aplicativo. Os dados são ocultados antes de sair do dispositivo móvel.
- Burger King, e-Legion e Appsee não têm acesso aos dados bancários dos usuários. Esses dados não são gravados, armazenados ou transferidos para terceiros.
- O Burger King recebe apenas o nome, email e número de telefone do usuário, de acordo com o Contrato do Usuário: burgerking.ru/legal_for_app
- Gravar vídeo nas telas ajuda a coletar estatísticas para melhorar o aplicativo.
- A Appsee segue rigorosamente todas as leis existentes sobre o trabalho com dados pessoais dos usuários. Isso é afirmado em sua política: www.appsee.com/legal/privacypolicy
- A transferência de dados para o serviço de análise Appsee ocorre apenas via Wi-Fi e não consome tráfego móvel
Vamos analisar cada um dos itens.
Ponto um - "ocultar dados pessoais ao gravar vídeo para análise é gravado no código do aplicativo; os dados são ocultos antes de sair do dispositivo móvel".
Ocultar dados pessoais não é explicitado no código do aplicativo.
Ocultar dados pessoais durante a gravação de vídeo é um parâmetro que o aplicativo solicita sempre de um servidor remoto e somente após receber uma resposta ("sim" ou "não") define o valor do parâmetro para "ocultar dados pessoais" ou "não ocultar dados pessoais" .
Este parâmetro é controlado remotamente e o Burger King pode alterá-lo a qualquer momento. Simplificando: quer - não se esconde, quer - se esconde.
Comentário do usuário no Habr.com
Assim, concluímos que a afirmação “os dados estão ocultos” é outra mentira flagrante da parte do Burger King e de sua equipe de desenvolvimento.
Ponto dois - “Burger King, e-Legion e Appsee não têm acesso aos dados bancários dos usuários. Esses dados não são gravados, armazenados ou transferidos para terceiros. ”
Como descobrimos na análise do primeiro parágrafo, os dados não são ocultos nem criptografados. Eles são transferidos para o servidor remoto em texto não criptografado e armazenados ali.
O acesso a esses dados está disponível para todos os associados ao aplicativo, bem como à métrica AppSee.
A afirmação de que Burger King, e-Legion (desenvolvedor de aplicativos) e AppSee “não têm acesso aos dados bancários dos usuários” é outra mentira flagrante .
Ponto três - "O Burger King recebe apenas o nome, email e número de telefone do usuário, de acordo com o Contrato do Usuário".
Como descobrimos nos dois primeiros parágrafos - o Burger King tem acesso às gravações da tela do usuário e a suas informações de cobrança , portanto, essa afirmação é falsa e visa enganar o cliente.
No entanto, o Burger King tem acesso aos nomes, e-mail e números de telefone dos clientes, mas não "apenas", mas "junto" com registros de telas, cartões bancários e um resumo completo das ações de cada usuário.
Além disso, no Contrato do Usuário
A afirmação de que "o Burger King recebe apenas o nome do usuário, e-mail e número de telefone" é uma mentira descarada .
O quarto ponto é "A gravação de vídeo a partir das telas ajuda a coletar estatísticas para melhorar o aplicativo".
Aqui chegamos à confirmação oficial da gravação da tela sem palavras vagas.
No entanto, afinal, em sua declaração oficial, o Burger King disse que eles não gravaram a tela! Como assim?
A julgar pelas inúmeras reclamações e críticas sobre o aplicativo - é muito lento e não funciona bem.
Não há "aprimoramento do aplicativo".
Ponto cinco - "O Appsee segue rigorosamente todas as leis existentes sobre o trabalho com dados pessoais dos usuários".
O AppSee é um serviço de análise e o Burger King declara constantemente que o serviço "segue o GDPR", no entanto - como já explicamos , a conformidade com o GDPR não significa nada para a Rússia. Mas ele não obedece à lei federal "Sobre dados pessoais" .
Então - novamente uma mentira . Afinal, o AppSee não obedece à lei principal sobre dados pessoais.
Ponto seis - "A transferência de dados para o serviço de análise Appsee ocorre apenas via Wi-Fi e não consome tráfego móvel".
Os testes mostraram que a transmissão de vídeo ocorre tanto por Wi-Fi quanto por uma rede celular.
Além disso, o próprio vídeo da equipe da e-Legion (desenvolvedor do aplicativo Burger King) de seu post comprova que o download também ocorre pela rede celular.
Captura de tela do vídeo acima, “Celular” - dados celulares.
A partir disso, concluímos - outra mentira flagrante .
Parte II Prova de gravação e transmissão de dados bancários.
Entrada
A principal reclamação para mim foi que eu mostrei apenas uma captura de tela do vídeo que interceptei, mas o vídeo em si não.
Burger King e Sergey se aproveitaram disso instantaneamente para me acusar de supostamente mentir.
Todos os outros entenderam a mesma coisa, começando a me acusar sem fundamento de um "rascunho", argumentando que eu não mostrava o vídeo. Chegou a insultos e ameaças diretos.
Por que não mostrei o vídeo primeiro?
Responda aquiTudo é simples - eu também sou uma pessoa :)
Primeiro, não salvei o vídeo com cartões bancários (assisti-o no programa do inspetor de trânsito e não o salvei), e a captura de tela foi mostrada em outro registro, que não fazia sentido enviar.
Em segundo lugar, tendo feito a pós-investigação original à noite, não fui dormir. Esqueci o sonho e comecei a responder a todos nos comentários. Um pouco mais tarde - os jornalistas descobriram minha investigação, a ressonância surgiu e eu fiquei sentado não apenas respondendo aos comentários, mas também às cartas e mensagens dos jornalistas.
Fiquei sentado por tanto tempo e teria me sentado.
Mas, infelizmente, não tenho o botão "desligar o sono e responder a todos", então fui dormir.
Quando acordei do monte de notificações no meu telefone, vi pela metade que eles queriam um vídeo meu.
E eles não querem apenas, mas querem com insultos, ameaças e grosserias.
Eu acho que minha reação a tais demandas durante a noite foi óbvia - depois de ter enviado todos os insultos para mim, fui para a cama ainda mais.
E as pessoas que estavam me regando com água aparentemente pareciam que eu era obrigado a correr para fazer algo ao primeiro clique dos meus dedos. Na verdade
Em algum momento, decidi enviar tudo e não fazer absolutamente nada (insultos não acrescentam o desejo de fazer alguma coisa). Mas decidi provar, no entanto, que estava certo.
Quando acordei, lembrei que precisava fazer um vídeo. Fiz isso. :)
Parte II.I. Vídeo do aplicativo
Este vídeo foi interceptado por mim a partir de uma cópia do tráfego do aplicativo Burger King para iOS (versão 2.2.0 - a mais recente).
O vídeo não foi modificado de forma alguma, o tráfego e o código do aplicativo não foram alterados .
Como você pode ver, os detalhes do cartão do banco não estão ocultos.
Os campos de entrada para telefone, email, nome e teclado também não estão ocultos.
Além disso, no início do vídeo, removi a confirmação de concordância com as regras de uso, mas a gravação do vídeo não parou e ainda foi para o servidor.
Parte II.II. Informações técnicas
Em termos de parâmetros (resolução, FPS, taxa de bits) - meu vídeo coincide completamente com o vídeo referenciado pela equipe de desenvolvimento de aplicativos Burger King em seu post , afirmando que os campos de entrada de dados são "pintados".
Vídeo referenciado pela equipe de desenvolvimento de aplicativos Burger King
Parte II.III. Por que meu vídeo é real?
Quero observar uma prova muito importante de que meu vídeo é realmente do aplicativo: ele não mostra a barra de status (linhas com o nível do sinal do celular, hora, carga da bateria), em vez de haver um local vazio.
Compare você mesmo:
À esquerda está a minha entrada, à direita está a captura de tela oficial do aplicativo
Esse vídeo só pode ser gravado pelo próprio aplicativo.
Porque
No iPhone (a saber, lancei o aplicativo) - é impossível ocultar a barra de status ao usar as ferramentas do SO para gravar a exibição (e outras não existem).
No meu iPhone, não há jailbreak (sistema operacional de hackers) e a versão mais recente do iOS está instalada; portanto, não tenho como ocultar a barra de status ou usar um aplicativo de terceiros para gravar a tela.
Portanto, a única maneira de obter esse registro é o aplicativo se registrar, já que no iOS ele não pode gravar elementos do sistema, exceto o teclado.
Compare também as barras de status vazias nos registros fornecidos pelo Burger King e no meu vídeo. Eles coincidem, não são.
Parte III Conclusão
Parte III.I. Sumário
O que temos no final?
Cada ponto da “refutação” de Burger King - fui esmagado em pedacinhos.
Aqui estão as evidências das mentiras diretas do Burger King.
Parte III.II. Verificação por RosKomNadzor
Eu (e muitas pessoas) gostaria que a RosKomNadzor verifique o Burger King em relação ao tratamento inseguro e indiferente dos dados pessoais e cartões bancários dos clientes.
E para que isso não se limite a um post na VK com memasics, mas a um cheque sério.
Parte III.III. Por que meus cartões king burger?
Prenunciando a pergunta:
"Por que o Burger King roubaria os detalhes do cartão de pagamento?" Eles já são ricos e os cartões roubados estragam sua reputação. ” (citação de uma pergunta real no fórum)
- eu vou responder:
O fato é que o aplicativo Burger King não é feito pelo próprio diretor de rede. Acredite, ele não está sentado em uma cadeira de couro diante de um computador, acendendo um charuto cubano com um maço de dólares e discando um código de aplicativo para roubar dinheiro dos russos.
O aplicativo Burger King é feito pela empresa e-Legion que eles contrataram e todos têm acesso às gravações (não acredito nas declarações da e-Legion que apenas os funcionários do Burger King têm acesso após uma mentira direta , o que eu provei ): e e-Legion e Burger King e tudo mais.
Pode haver um aluno trabalhando para doshiraki e querendo dinheiro fácil.
Ou talvez um invasor que agora pegou seu cartão e já comprou um iPhone novo.
Você nunca saberá, porque se isso acontecer, o Burger King, como sempre, mentirá impudentemente para você e dirá que tudo está "bem, e em geral -" você está fumigado ".
E não há lugar para estragar a reputação abaixo.
Parte III.IV. Funcionários que não devem ter permissão para as pessoas.
Mentiras descaradas, ameaças, grosseria, insultos. Este é apenas o começo.
Embora o que esperar de uma empresa com essa publicidade:
E por esses funcionários:
Cuidado, tapete (manchado - aprox. Mod.)!