Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

UPD

Информация об угрозах: https://habr.com/company/roskomsvoboda/blog/417145/#comment_...

Всегда обновляемый оригинал статьи — в моём блоге.


Вступление


Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


Как выяснилось — людям небезразличен шпионаж за ними.


Расследование понравилось и хакерам.

С момента публикации, на мой блог совершили десятки хакерских атак.

-------------------------------------

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


Для архивирования ссылок используется проверенный сервис archive.is.


Все оригинальные ссылки — в конце данной статьи.
-------------------------------------

Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


Какой ответ мы получили?


I.I. Официальный ответ Burger King ВКонтакте.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

Ну что же, давайте разбирать по пунктам.

-------------------------

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.

Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.


Российский Burger King ему не подчиняется.


Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.

-------------------------

Во-вторых — «мы не делаем запись».


В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.


В том числе — во время ввода реквизитов банковских карт.

-------------------------

В-третьих — «получаем обезличенную аналитику по работе приложения».


О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?


Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

Пикабушникам он известен как @SergeyBurgerKing.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Сергей Очеретин. Директор по digital-проектам Burger King. Фотография из открытых источников.)


Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Скриншот с форума 4PDA)

-------------------------

В-четвёртых: «или об этом уже нельзя говорить?»


Burger King ни разу не отвечал на вопросы о слежке до этого комментария.


Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).


Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.


Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

-------------------------

Запись экрана — доказана.


Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.


----------------------------

I.II. «Опровержение»


Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.


Они говорят, что (далее цитата):


- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.


- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.


- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app


- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.

Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy


- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

----------------------------


Давайте пройдемся по каждому из пунктов.


Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».


Скрытие личных данных не прописано в коде приложения.


Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».


Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Комментарий пользователя на Habr.com)


Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.


-----------------

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».


Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.


Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.


Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

-----------------

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».


Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.


Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.


Также, в Пользовательском Соглашении


Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.


-----------------


Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».


Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.


Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?


Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.


Никакого «улучшения работы приложения» нет.


-----------------


Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».


AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.


Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.


-----------------


Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».


Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.


Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.

(видео разработчиков приложения Burger King)

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

Скриншот из видео выше, «Cellular» — сотовые данные.


Из этого делаем вывод — очередная наглая ложь.


---------------------------------------


Часть II. Доказательство записи и передачи банковских данных.


Вступление


Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.


Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.


Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.


------------------------------------------------

Почему же я не показал сначала видео?

Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂

------------------------------------------------


Часть II.I. Видеозапись, сделанная приложением.


Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).


Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

Как Вы можете видеть, детали банковской карты — не скрываются.


Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.


Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.


Часть II.II. Техническая информация.


По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».


Видео от команды разработчиков:

-------------------------------------


Часть II.III. Почему моё видео — настоящее.


Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


Сравните сами:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Слева — моя запись, справа — официальный скриншот приложения)


Такое видео может записать только само приложение.


Почему?


На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).


На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.


Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.


Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.


Часть III. Заключение.

---------------------------------

Часть III.I. Итоги


Что имеем в итоге?


Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.


Здесь же — доказательства прямой лжи Burger King.

---------------------------------


Часть III.II. Проверка РосКомНадзором


Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.


И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

---------------------------------


Часть III.III. А зачем мои карты Бургер Кингу?


Предвещая вопрос:


— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)


— отвечу:


Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.


Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.


Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.


А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.


Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».


И репутацию там портить ниже некуда.


---------------------------------


Часть III.IV. Сотрудники, которых нельзя пускать к людям.


Наглая ложь, угрозы, хамство, оскорбления. Это только начало.


Хотя чего ожидать от компании с такой рекламой:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

И такими сотрудниками:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

[UPD

Аккаунт - фейк]

Оригинальные ссылки:

Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.


Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.


Обращение РосКомНадзора ВКонтакте

Пост компании-разработчика приложения e-Legion

IT-директор Burger King сам говорит о собирании информации о пользователях

Информация о Сергее Очеретине — IT-директоре Burger King

Пользовательское соглашение приложения Burger King

Политика приватности AppSee (на английском)

Вы смотрите срез комментариев. Показать все
562
Автор поста оценил этот комментарий

Да, автор не очень продуманно подошел к оформлениютого поста, от которого говно понеслось по трубам, но посыл, имхо, верный.


Больше всего меня позабавило как на хабре дофига народа с пеной у рта доказывали что такое положение вещей абсолютно нормально и правильно.


На старом хабре как минимум несколько человек не поленились бы указать автору на его косяки в оформлении поста, при этом самостоятельно все проверив и выложив результаты проверок. А там орали, мол, где видео, дай видео, вместо того, чтобы проверить самим или попросить тех, у кого нужный софт уже стоит (мне, вот, было лень ставить, но есть знакомые разрабы, у которых есть все необходимое) и придирались к деталям, мол, это не сам бургеркинг следит, это обычная аналитика, все следят... Ну, и насчет того что "нахуй приватность" на старом хабре вряд ли бы кто-то заикнулся.

раскрыть ветку (167)
73
Автор поста оценил этот комментарий

Чел, я пил один пост на хабру - там была уязвимость в одной из систем кошельков. И эта статья не прошла модерацию. А знаешь почему ? На Хабре есть корпоративные блоги (это впринципе формат хабра ) - заплати и пиши. Так вот у этой конторки был бложик и чтоб не пачкать репутацию - они не публиковали статью.

Правда спустя несколько лет народ все таки познал прелести этой платежки

Щас вообще все за бабло. Рыночная экономика... Добро пожаловать в продажный мир

раскрыть ветку (27)
33
Автор поста оценил этот комментарий
Почему вы не говорите, какой конторы были кошельки?
раскрыть ветку (14)
6
Автор поста оценил этот комментарий

Вы что, это же нанесет ущерб репутации этому фрукту/ птице (все совпадения случайны)

11
DELETED
Автор поста оценил этот комментарий

Очевиднейшие вебмани.

раскрыть ветку (3)
32
Автор поста оценил этот комментарий
Просто зачем скрывать названия компаний? Если их уличили в каком-нибудь дерьме, в это тыкать надо, а не скрывать название. Удивляет подобное. Жалуются на какую-нибудь контору на Пикабу, а названия скрывают, будто боятся преследования.
раскрыть ветку (2)
13
Автор поста оценил этот комментарий

мы на вас пожалуемся куда надо, и к вам приедет кое-то, и у вас кое-что изменится, ясно?

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий
Иллюстрация к комментарию
7
Автор поста оценил этот комментарий

А вдруг не пройдет модерацию пикабу? Тут как бы тоже есть черные списки имен которые нельзя называть.

раскрыть ветку (8)
Автор поста оценил этот комментарий

например?

раскрыть ветку (7)
5
Автор поста оценил этот комментарий

Ну, например, ты не сможешь вставить ссылку на сайт Навального

раскрыть ветку (6)
12
Автор поста оценил этот комментарий

Действительно

Иллюстрация к комментарию
1
Автор поста оценил этот комментарий

Второй разу тут упоминается что сайт навального заблокирован. Антинавальный автершокньюз тоже заблокирован и сотни других.

раскрыть ветку (1)
Автор поста оценил этот комментарий

"Сделано у нас" тоже в бане непонятно за какие грехи.

Автор поста оценил этот комментарий

ну это не имя, а сайт
ничто не мешает взять и написать его иначе(по русски например). или картинкой отправить

ещё комментарии
3
Автор поста оценил этот комментарий

Ну, меня это совершенно не удивляет - нормальный народ оттуда давно уже свалил и, в лучшем случае, только иногда почитывает.

4
Автор поста оценил этот комментарий

ну и нахуй этот хабр нужен тогда?

раскрыть ветку (4)
7
Автор поста оценил этот комментарий

Хз, переодически бывают нормальные статьи. Но я чаще на хабру натыкаюсь Гуглом - чем зашёл и почитал. Сидел как-то читал, хватило на месяц... Сенсационные посты ализара или как его там, куча постов про то вот какой я молодец без описания технических тонкостей, мануалом...

Гиктаймс переодически интересно взглянуть как новости, или обзорчики. Но уже не торт, что то, что это.

П.с. а компаниям как пиар. Типа мы такие красивые - мы есть на Хабре. Я ходил в такую компанию устраиваться. Конфетки на собеседовании, предложение кружки чая, приятная беседа, потом прикольное техническое собеседование (так как я не готовился, но удачно ответил на все вопросы), ну и в заключение поторговались в цене , я хотел 30 (Московская же компания, пусть и в регионе. Зп на тот момент 25 была у меня). И мне перезвонили - мы не можем вам платить такую зп. Коллега туда ушел, в итоге : вместо свободного графика 12 часов и вообще не айс :))

2
Автор поста оценил этот комментарий

Сейчас уже не нужен. Во всяком случае нормальным людям, а не конторам и маркетологам.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Ну нет. По микроконтроллерам там статьи обучающие хорошие бывают. И по PostgreSQL статьи информативные. А читать Хабр как я читаю пикабу (все подряд, что в ленте есть) - я бы никогда не стал.

раскрыть ветку (1)
3
Автор поста оценил этот комментарий

Заглядывать на хабр раз в несколько дней на предмет "чего новенького" когда-то в седой древности было вполне адекватно. Даже если в какой-то области не разбираешься или разбираешься слабо, можно было подтянуть общее понимание в какой-то не маркетинговой сфере)

DELETED
Автор поста оценил этот комментарий

Эм, давно ничего не пичал на хабре - с каких пор там модерация для постов хаброюзеров?

раскрыть ветку (5)
3
Автор поста оценил этот комментарий

Сначала надо стать хаброюзером. Инвайт просить в ломы, до введения инвайтов регаться повода небыло.

раскрыть ветку (4)
1
DELETED
Автор поста оценил этот комментарий

Так отслеживают статьи не из-за цензуры, а просто мусорные. Пропускают все хоть более-менее адекватные, а дальше они доступны для просмотра. И если хоть кого-то с инвайтом она зацепила, то он может дать инвайт тебе, после чего статья перемещается в обычную ленту

раскрыть ветку (3)
2
Автор поста оценил этот комментарий

Ну если доступ к счету с баблом без пароля это мусор... Притом была заявка в ТП, которую знатно продинамили, а повторные в чатике (личном) каждый раз заканчивались вопросом что, простите мы не в курсе предыдущей заявки, повторите запрос... Колёсиком от мышки пользоваться их никто не учил. Я думал хабра мне поможет восстановить справедливость - а фиг. Не в этом сила брат, в современном мире.

1
Автор поста оценил этот комментарий

Сейчас там в основном только мусорные - от ализара и бесполезное рекламное говно от контор.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Да не надо так категорично, у статей за сутки 10 тыс. просмотров и более, по моему вполне нормально.

114
Автор поста оценил этот комментарий
Сори что под топом.
Акция - 'Неделя без БК' будет(пикдетта)?
Сила пикабу в реале и все такое...
раскрыть ветку (62)
335
Автор поста оценил этот комментарий
Готов участвовать все недели до конца моей жизни, в этой акции
раскрыть ветку (53)
146
Автор поста оценил этот комментарий

Уже 29 лет в ней участвую

раскрыть ветку (11)
23
Автор поста оценил этот комментарий

А я 28 лет и 362 дня участвую)))

раскрыть ветку (10)
33
Автор поста оценил этот комментарий
С наступающим)
раскрыть ветку (9)
7
Автор поста оценил этот комментарий

Спасибо) Еще годик - и тридцатник не за горами, чот как-то ссыкотно...

раскрыть ветку (8)
8
Автор поста оценил этот комментарий

боязнь стать магом?

раскрыть ветку (6)
Автор поста оценил этот комментарий

Или наоборот - не стать.

1
Автор поста оценил этот комментарий

Скорее магессой) Ну да не суть)

раскрыть ветку (4)
Автор поста оценил этот комментарий

Тогда уж ведьмой (

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Я как раз рыжая и без души) Самое то!)

раскрыть ветку (1)
Автор поста оценил этот комментарий
Ух ты, не знала что феминитив для слова "маг" вообще сущевствует
Пикабу ппознавательный
Автор поста оценил этот комментарий

Ничего страшного нет.

Мне 32 и я уже как 2 года этот порог перемахнул.

Все норм...не отличается от других д.р.

15
Автор поста оценил этот комментарий

Мне уже давно отпугнула их реклама, рассчитанная на деградантов.

34
Автор поста оценил этот комментарий

И кошелек целее будет и желудок скажет спасибо. Да еще и мудаков накажем.

раскрыть ветку (38)
9
Автор поста оценил этот комментарий

И вкусовые рецепторы не пострадают.

3
Автор поста оценил этот комментарий
Самый смех что накажем не тех скорее всего, не владельцев бренда, а тех кто бургерами торгуют под франшизой (
раскрыть ветку (3)
10
DELETED
Автор поста оценил этот комментарий
Будто бренд не загнётся, если франшизу покупать не будут.
7
Автор поста оценил этот комментарий

Ну если уж так говорить, то это не Российский бренд, и в том же США нет такой рекламы. Так что наказывать бренд и не надо, это русские представитили мутят дичь. И я думаю, что если вся эта шумиха дойдет до реальных владельцев бренда, то текущим российским представителям мало не покажется.

Автор поста оценил этот комментарий

так и есть

ещё комментарии
1
Автор поста оценил этот комментарий

К этой акции меня подготовили еще их нагетсы за 60р пару лет назад, сделанные в лучшем случае из бумаги (хорошо, если не из туалетной). Учитывая еще их совершенно отвратительную рекламу, даже заходить в бк не хочется.

20
Автор поста оценил этот комментарий

Я перестал ходить в эту тошниловку, после того как наблюдал сцену разборок таджиков на кухне с бросанием еды. (до этого несколько раз попадались очень хамские кассиры) Отправив жалобу на официальный сайт с указанием даты времени и места я не получил никакого ответа. Хватило бы даже отписки, мол проверим, спасибо. Но в ответ вообще ничего. Сделал вывод, что БК насрать на отзывы и больше туда не хожу из принципа.

16
Автор поста оценил этот комментарий
А кто ни разу там не был, его неделя так и пройдёт незамеченной.
6
Автор поста оценил этот комментарий

я из фастфуда только суши и кфс признаю так что считайте я с вами

4
Автор поста оценил этот комментарий
Будет!Я в ней 40 лет уже участвую.
1
Автор поста оценил этот комментарий
Кажется я в бк заходил один раз в жизни. Так что я с вами навеки)
1
Автор поста оценил этот комментарий

а смысл?

раскрыть ветку (2)
Автор поста оценил этот комментарий
Не понимаете какие будут убытки? Или недополученная прибыль.
раскрыть ветку (1)
Автор поста оценил этот комментарий

им насрать помоему)) сделают какую-нибудь акцию в итоге и только еще больше людей о них узнает

38
Автор поста оценил этот комментарий

Хабр уже давно скатился в помойку и с гиковского сайта превратился в сайт со школотой хацкерами

раскрыть ветку (8)
10
Автор поста оценил этот комментарий
Ну так mail.ru руку приложил же
раскрыть ветку (1)
3
Автор поста оценил этот комментарий

ТМ выкупили у Mail.ru (на бабки Яндекса, лол), Хабр давно уже им не принадлежит.

ещё комментарии
90
Автор поста оценил этот комментарий

Там очень оперативно выложили результаты проверки, поля были замазаны. Я так же проверял и выкладывал. Здесь все смешали в одну кучу и аналитику и "кражу" карт. Аналитика нужна и полезна (надо конечно спрашивать юзера и быть предельно осторожным с тем что записываешь и как используешь), поэтому часть пользователей защищали аналитику.

раскрыть ветку (23)
98
Автор поста оценил этот комментарий

Я не спорю - аналитика нужна и полезна, вопрос в том, что с одной стороны компании пытаются получить как можно больше данных, тем более по сути адекватных законов на этот счет все еще нет, с другой стороны подавляющее большинство пользователей вообще не в курсе.


Лично я считаю что грамотность пользователей в этом плане надо повышать, чтобы пользователь знал что его траффик может испаряться потому что какое-то приложение занимается "передачей аналитики". Телефон может тормозить не потому что он "прошлогодний", а разряжаться не из-за "плохой батареи", а потому что разрабы криворукие или просто охуели (в том числе со "сбором аналитики"). 


Многим людям, особенно далеким и не интересующимся разработкой, аналитикой и прочим подобным, абстрактные слова о слежке, мол, есть такая хрень, которую используют некоторые компании чтобы собирать аналитику бла-бла-бла ничего не скажут.


Но что если показать им пусть и кривоватый, но конкретный пример? Вот есть Бургеркинг, его приложение записывает весь экран и отсылает хз куда. И данные карты, судя по всему, тоже записывает и отправляет хз куда.


Бургеркинг, повторюсь, в этом плане вряд ли сильно хуже или лучше многих других контор. Просто под руку подвернулись именно они.


Так что автора я могу обвинить разве что в криво написанном первом посте, но никак не в том, что Бургеркинг записывает и отправляет скринкаст "аналитику".

раскрыть ветку (9)
18
Автор поста оценил этот комментарий

Согласен, но основной упор был сделан на отправку данных карт, а видео не было изначально. Показанное впоследствии видео можно получить заменить ответ сервера

раскрыть ветку (7)
16
Автор поста оценил этот комментарий

Поэтому и проняло. Думаю, хотя бы некоторый процент людей начнет задумываться о своей личной информационной безопасности и что-то делать в этом направлении.


Честно говоря, бургеркингам я верю скорее даже меньше, чем ТСу. Ну, а что "интересные места" были замазаны... есть, например, вероятность, что на устройстве или эмуле ТСа "не замазалось" по причине каких-то багов, как, возможно, и на устройствах ряда других пользователей приложения.

Только это не сильно улучшает ситуацию в целом. Думаю, пример не особо корректный, но что-то вспомнилось: четвертование в отдельных случаях могли проводить как в качестве казни, так и после оной - убивали человека в любом случае, но в первом он умирал мучительнее.

раскрыть ветку (6)
8
Автор поста оценил этот комментарий

Компании уровня намного выше БК так же косячат и сливают данные. Это компромис, на который мы идем ради удобства. Лично я бы, если пользовался приложением БК, ввел данные карты потому, что на странице ввода данных увидел бы "правдоподобные" надписи и изображения.

Про баги я кстати на 4PDA тоже писал (баги, другая реализация на новой версии ОС ли бете и т.п.), очень опасно в принципе писать что-либо на форме ввода данных карты (там еще и тачи пишутся), надо выключать глобально запись если форма ввода карты открыта.

раскрыть ветку (5)
2
Автор поста оценил этот комментарий
Обычные пользователи, пока их не стукнет чем-нибудь ощутимым в виде реальной возможности потерять деньги, о таких вещах даже не задумываются и всякие сайты, где такие вещи обычно обсуждают, не посещают, а если посещают, то "всякую заумь" не читают. И бомбануть может только если подобное вылезет на чем-то типа Пикабу и написано доходчиво для обывателя.
ещё комментарии
4
Автор поста оценил этот комментарий

А в том что он в заголовке написал что БК крадет данные банковских карт, согласны?) Автор поста мастер желтых заголовков.

То что видео пишется, и собирается аналитика это конечно плохо

1
Автор поста оценил этот комментарий

Кхм... Как бы уже говорилось, что замазывать данные или нет - решать серверу.

раскрыть ветку (12)
8
Автор поста оценил этот комментарий

Говорилось. Но автор поста утверждает что он получил видео с незамазанными данными без изменения данных от сервера. Видео появилось только недавно, вчера когда я получал видео с сервера уже шли настройки с отключённой записью видео вообще.

раскрыть ветку (11)
13
Автор поста оценил этот комментарий
Значит автор набрасывает, делов-то?

Он сам говорит про то, что сервер аналитики отвечает настройками, он сам заявляет, что ради эксперимента подменил ответ сервера... но тут же заявляет, что это подвластно бургеркинг (вообще), из чего делает вывод, что данные уже утекли, и уже доступны рядовым работникам бк, е-легион и т.д.

Выводы делаются методом революционной решимости, что способствует нагнетанию, но - увы - не делает их истиной в последней инстанции.

Я не отрицаю, что в целом эта запись экрана - штука нечистая, но не верю в то, что расследование проведено достаточно дотошно, и не верю в то, что выводы автора абсолютно верны.
раскрыть ветку (2)
5
Автор поста оценил этот комментарий

Да, дотошность наше все:) Но на хабре он удалил мой коммент (не знаком с правилами хабра, удивился что так можно), поэтому хотя бы здесь кто-то заинтересуется другом мнением

1
Автор поста оценил этот комментарий

Ну так сегодня сервер отвечает одно, завтра - другое... а у кого-то что-то сглючило и параметр не применяется... имхо, тут уже не докопаешься что было ДО говна по трубам.

5
Автор поста оценил этот комментарий
вчера когда я получал видео с сервера уже шли настройки с отключённой записью видео вообще

Вопрос в том, начали ли они идти только вчера, или шли всегда? Да и в любом случае, нахрена выносить управление замазыванием данных на сервер? Что мешает прописать эти настройки жестко в приложении? ИМХО, уже это - как минимум подозрительно. Ну и касательно всей этой истории: как минимум поведение БК - отвратное, комментарии противоречат сами себе - то они видео не пишут вообще, то пишут но замазывают. То статистика обезличенная, то они "проверяют аккаунты" автора. В общем - сами же и путаются в своих показаниях.

раскрыть ветку (7)
5
Автор поста оценил этот комментарий

Согласен, что косяк за ними есть. Я лишь указываю что компрометация данных не доказана, возможность была. Поведение БК стараюсь не затрагивать, отмечу что сам факт записи видео они не отрицали и выложили пример записанного видео практически сразу. Поведение юзеров, которые сразу кинулись (без видео или ответа на обвинения) обвинять БК и ставить единицы приложению тоже стоит помнить.

раскрыть ветку (3)
3
Автор поста оценил этот комментарий
Я лишь указываю что компрометация данных не доказана, возможность была

Мало того, она до сих пор есть.

выложили пример записанного видео практически сразу

Если я правильно помню - через день

обвинять БК и ставить единицы приложению тоже стоит помнить
ИМХО - вполне себе обоснованно.
раскрыть ветку (2)
3
Автор поста оценил этот комментарий

Обосновано писать в саппорт магазина чтобы приложение удалили пока не будет закрыта уязвимость. А ставить приложение чтобы поставить 1 это интстинкт толпы, где-то кто-то ткнул пальцем, поверили, «наказали»

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Увы, так все и работает. Но лучше бы люди задумались о безопасности вообще - кто еще может лезть куда не надо и как от этого защититься, чем тупо оставлять плохие отзывы и благополучно об этом забывать.

5
Автор поста оценил этот комментарий
управление замазыванием данных на сервер?

Там абсолютно весь конфиг вынесен в конфигурацию, получаемую от сервера. Так удобнее для разработчиков.

ИМХО, уже это - как минимум подозрительно.

Компания, которая создала модуль сбора разного рода статистики, и компания, которая разработала приложения - совершенно разные и с друг другом не связанные.

В общем - сами же и путаются в своих показаниях.

Автор поста тоже путается в своем тексте и сам себе противоречит, но этого никто почему-то не замечает :(

раскрыть ветку (1)
8
Автор поста оценил этот комментарий
Там абсолютно весь конфиг вынесен в конфигурацию, получаемую от сервера. Так удобнее для разработчиков.

Разработчикам вообще удобней всего получать бабки и нихрена не делать. А если им сложно жестко задать пару переменных - может нахуй таких разработчиков?

совершенно разные и с друг другом не связанные

Как раз-таки к AppSee претензий нет, а вот к легиону и БК - выше крыши.

Автор поста тоже путается в своем тексте и сам себе противоречит, но этого никто почему-то не замечае
То что автор поста путается отменяет того, что БК также местами несет чушь? Опять-таки, автору 18 лет и он один, а БК - огромная компания, от которой ждешь нормальных ответов.
Автор поста оценил этот комментарий

С конфигурацией, указанной в первом посте, все замазывается. Круто, да?

28
Автор поста оценил этот комментарий

Меня во всём этом деле напрягает что я могу написать приложение "фонарик" в котором буду сливать себе на сервак данные про EMAI и прочие данные, и это как бы нормально для Эпл. Насколько я понимаю данных номер карты+клон симкарты это вобще доступ ко всем финансам и не только.

Т.е. защиты данных как таковых нет ни у кого, на андроде там фонарик даже геолокацию мог снимать и микрофон и камеру без вопросов.

раскрыть ветку (12)
20
Автор поста оценил этот комментарий

Нет «легальных» методов получить IMEI в iOS-приложении. Можно с помощью private API, но это строго запрещено, за такие дела приложение удаляют из стора, а разработчика могут и забанить. Если аппликуха БК действительно собирает IMEI, нужно отправить жалобу в Apple с пруфами, и БК будут 👌👈

раскрыть ветку (1)
Автор поста оценил этот комментарий

Походу идея учить Свифт не такая уж и плохая )))

3
Автор поста оценил этот комментарий

Не знаю как у яблочников, но на андроиде так оно и есть. Дофига приложений с охуевшими разрешениями. Например, проблема найти нормальное приложение для заметок, которое умеет только это и не может даже прицеплять картинки, которое не требует доступа чуть ли не ко всему вообще, включая запись микрофона, видео, запуск на старте, имей, телефонной книге, смс, звонкам и гуглосервисам.

В общем, найти просто приложение для заметок, которое не требует дохуя всего было проблемой.

раскрыть ветку (9)
1
Автор поста оценил этот комментарий

Попробуй Google Keep.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Спасибо, но я уже не первый год использую Fast Notepad, который до сих меня полностью устраивает. Правда, для того чтобы его найти, даже тогда пришлось продраться через огромное количество непонятных приложений с охуевшими пермишенами.

Автор поста оценил этот комментарий
Есть такое: Быстрый Блокнот называется.
раскрыть ветку (2)
Автор поста оценил этот комментарий

Если это Fast Notepad от Fast Notepad, то я им в итоге и пользуюсь)

раскрыть ветку (1)
Автор поста оценил этот комментарий
Нет. Так и называется Быстрый Блокнот от IGOR.
Автор поста оценил этот комментарий

У яблок есть запрет на камеру, микрофон, геолокацию, уведомления, и данные сотовый либо вайфай, ну там контакты и фото и заметки так же. Но вот например приложению бургеркинг я не могу запретить снимать экран, в 12 оси будет возможность ограничить по трафику, типа 10 мегов и не волнует.

раскрыть ветку (3)
DELETED
Автор поста оценил этот комментарий

Ты видел качество видео? Оно весит несколько килобайт

раскрыть ветку (2)
Автор поста оценил этот комментарий

1 мегабайт на месяц тогда

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Ну значит несколько минут пошлет, где ты регаешься и все данные вводишь, а потом уже перестанет работать

11
Автор поста оценил этот комментарий

да чего удивляться то? хабр уже лет 5 как скатился в говно, даже раздел программирование на ДВАЧЕ, да-да карл, на дваче, в сто раз более эффективен и полезен. Где не сидят задроты с ебалами знатоков, а обычные прогеры или студенты, которые и без кармы, популярным языком объяснят все

раскрыть ветку (3)
Автор поста оценил этот комментарий

Да я не удивляюсь, скорее констатирую факт. И задроты в этом сборище маркетологов давно уже не сидят, им там просто нечего делать.

раскрыть ветку (2)
Автор поста оценил этот комментарий

Ну там можно читать переводы научпопа

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Если не читать их где-то еще. В оригинале.

3
Автор поста оценил этот комментарий

Вопрос по теме поста. Мы разрабатываем сайты для пиццерий и хотим внедрить собственную разработку для аналитики поведения пользователя: движения мышки, клики, прокрутка страницы. Без просмотра ввода данных в поля. Насколько это законно?

раскрыть ветку (10)
2
Автор поста оценил этот комментарий

Законно это конечно. Почти на всех крупных сайтах стоит GA и ЯМ, которые все прекрасно пишут. В какой доле приложений стоит соответствующее ПО точно не знаю (не внедрял), но почти уверен, что это абсолютно нормальная практика.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Тоже так думаю, и если бы БК не передавал личные данные пользователя в видео, то к ним вопросов бы не было

2
Автор поста оценил этот комментарий

Вебвизор Яндекса хоть и глючный, но многое увидеть и отследить действия пользователя можно

раскрыть ветку (4)
Автор поста оценил этот комментарий

Речь идет о тысячах запросов ежесекундно. Это все нужно анализировать и выдавать решение автоматически. Вебвизор полезен для анализа отдельных случаев.

раскрыть ветку (3)
2
Автор поста оценил этот комментарий
Мы разрабатываем сайты для пиццерий и хотим внедрить собственную разработку для аналитики поведения пользователя

А, забыл изначальный вопрос.


В любом случае тот же вебвизор собирает маршрут юзера, отображает все нажатия клавиши клавиатуры. Хотя, сам является третим лицом, а не владельцем сайта.


Они же это как-то делают, значит и вам можно. Нужно у яндекса и подсмотреть при настройке/добавлении метрики - какое соглашение они дают на принятие. Его копировать под себя и все.


Или еще проще - пишите им в поддержку, мол на каком основании вы данные о юзерах собираете - скинут сами соглашения эти. Думаю, самой простой выход из ситуации)

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Спасибо, отличный совет)

Автор поста оценил этот комментарий

Ну без тз или короткого примера сложно чтр-то подсказать, но, как мне кажется, уже придется что-то кастомное писать

4
Автор поста оценил этот комментарий

Просто сделайте всё в соответствии с законом, регулирующим эту проблему в вашем регионе. Если вы из РФ, то ссылка на этот закон есть в посте.

1
Автор поста оценил этот комментарий
Чем вас Яндекс.Метрика не устраивает? Там это все есть.
раскрыть ветку (1)
Автор поста оценил этот комментарий

Ответил #comment_117270600

4
Автор поста оценил этот комментарий
На старом хабре
Можно для людей не шибко знакомых с Хабром освятить этот момент? Там в какой-то момент поменялась команда или концепция?
раскрыть ветку (5)
7
Автор поста оценил этот комментарий

Количество юзеров неумолимо росло, процент шарящих юзеров соответственно падал. Хабр опопсел, как и любой относительно старый ресурс

раскрыть ветку (4)
2
Автор поста оценил этот комментарий

В общем, ничего нового. Благодарю.

раскрыть ветку (3)
4
Автор поста оценил этот комментарий

Добавлю что т.к. ресурс был популярен у продвинутых ИТшников, туда потихоньку стали подтягиваться конторы, покупая себе "корпоративные блоги", плюс некоторые не вполне адекватные действия администрации, из-за которых какая-то часть народа постепенно уходила или переставала писать посты...

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

"Корпоративные блоги"- это, конечно, днище.

Но, как сборник статей, я так понимаю, Хабр по-прежнему катит? Мне вот, например, друг присоветовал оттуда серию "Сети для самых маленьких".

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Да, хорошая серия, но ты посмотри когда ее начали писать... Еще уходящие авторы, бывает, удаляют свои статьи (не знаю не убрали ли такую возможность или нет).

1
Автор поста оценил этот комментарий

Если ты заточен на результат, а не на действия, то со временем ты устаешь учить долбоебов.

раскрыть ветку (3)
Автор поста оценил этот комментарий

Можно использовать для этого подходящие инфоповоды, а не создавать их самому.

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Повторять одно и тоже разным/новым долбоебам заебало. Так доступнее?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Главное - чтобы никто не заставлял это делать.

1
Автор поста оценил этот комментарий

Там проверили и выложили свое видео, пикабушников и там хватает

ещё комментарии
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку