Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение.

UPD

Информация об угрозах: https://habr.com/company/roskomsvoboda/blog/417145/#comment_...

Всегда обновляемый оригинал статьи — в моём блоге.


Вступление


Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.


Как выяснилось — людям небезразличен шпионаж за ними.


Расследование понравилось и хакерам.

С момента публикации, на мой блог совершили десятки хакерских атак.

-------------------------------------

Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.


Для архивирования ссылок используется проверенный сервис archive.is.


Все оригинальные ссылки — в конце данной статьи.
-------------------------------------

Часть I. Ответы.

Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.


Какой ответ мы получили?


I.I. Официальный ответ Burger King ВКонтакте.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

Ну что же, давайте разбирать по пунктам.

-------------------------

Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.

Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.


Российский Burger King ему не подчиняется.


Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.

-------------------------

Во-вторых — «мы не делаем запись».


В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.


В том числе — во время ввода реквизитов банковских карт.

-------------------------

В-третьих — «получаем обезличенную аналитику по работе приложения».


О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?


Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.

Пикабушникам он известен как @SergeyBurgerKing.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Сергей Очеретин. Директор по digital-проектам Burger King. Фотография из открытых источников.)


Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Скриншот с форума 4PDA)

-------------------------

В-четвёртых: «или об этом уже нельзя говорить?»


Burger King ни разу не отвечал на вопросы о слежке до этого комментария.


Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).


Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.


Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».

-------------------------

Запись экрана — доказана.


Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.


----------------------------

I.II. «Опровержение»


Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.


Они говорят, что (далее цитата):


- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.


- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.


- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app


- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.

Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy


- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

----------------------------


Давайте пройдемся по каждому из пунктов.


Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».


Скрытие личных данных не прописано в коде приложения.


Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».


Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Комментарий пользователя на Habr.com)


Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.


-----------------

Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».


Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.


Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.


Заявление о том, что Burger King, e-Legion (разработчик приложения), и AppSee «не имеют доступа к банковским данным пользователей» — это очередная наглая ложь.

-----------------

Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».


Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.


Однако, Burger King действительно имеет доступ к именам, E-Mail, и телефонам клиентов, однако не «только», а «вместе» с записями экранов, банковских карт, и полной сводки действий каждого пользователя.


Также, в Пользовательском Соглашении


Заявление о том, что «Burger King получает только имя, email и телефон пользователя» — наглая ложь.


-----------------


Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».


Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.


Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?


Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.


Никакого «улучшения работы приложения» нет.


-----------------


Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».


AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.


Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.


-----------------


Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».


Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.


Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.

(видео разработчиков приложения Burger King)

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

Скриншот из видео выше, «Cellular» — сотовые данные.


Из этого делаем вывод — очередная наглая ложь.


---------------------------------------


Часть II. Доказательство записи и передачи банковских данных.


Вступление


Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.


Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.


Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.


------------------------------------------------

Почему же я не показал сначала видео?

Все просто — я тоже человек 🙂
Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было.
Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов.
Просидел я так очень долго, и сидел бы дальше.
Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать.
Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео.
Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством.
Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше.
А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж.
В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав.
Когда проснулся — вспомнил что нужно сделать видео. Сделал. 🙂

------------------------------------------------


Часть II.I. Видеозапись, сделанная приложением.


Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).


Видео никоим образом не модифицировалось, трафик и код приложения не менялись.

Как Вы можете видеть, детали банковской карты — не скрываются.


Не скрываются и поля ввода телефона, E-Mail, имени, и клавиатура.


Также, в начале видео я убрал подтверждение согласия с правилами использования, но запись видео не прекратилась и оно все равно отправилось на сервер.


Часть II.II. Техническая информация.


По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».


Видео от команды разработчиков:

-------------------------------------


Часть II.III. Почему моё видео — настоящее.


Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.


Сравните сами:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

(Слева — моя запись, справа — официальный скриншот приложения)


Такое видео может записать только само приложение.


Почему?


На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).


На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.


Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.


Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.


Часть III. Заключение.

---------------------------------

Часть III.I. Итоги


Что имеем в итоге?


Каждый пункт «опровержения» Burger King — разбит мною в пух и прах.


Здесь же — доказательства прямой лжи Burger King.

---------------------------------


Часть III.II. Проверка РосКомНадзором


Я (и многие люди) хотели бы, чтобы РосКомНадзор проверил Burger King насчет их небезопасного и пофигистичного обращения с персональными данными и банковскими картами клиентов.


И чтобы это ограничилось не постом в ВК с мемасиками, а серьезной проверкой.

---------------------------------


Часть III.III. А зачем мои карты Бургер Кингу?


Предвещая вопрос:


— «Зачем Burger King воровать данные платежных карт? Они и так богатые, а кражей карт — испортят себе репутацию.» (цитата реального вопроса на форуме)


— отвечу:


Дело в том, что приложение Burger King делает не директор сети собственноручно. Поверьте, он не сидит на кожанном кресле за компьютером, прикуривая кубинские сигары пачкой баксов и набирая код приложения, чтобы украсть деньги у россиян.


Приложение Burger King делает нанятая ими компания e-Legion, а к записям экрана имеют доступ все (я не верю заявлениям e-Legion о том, что доступ есть только у сотрудников Burger King после прямой лжи, которую я доказал): и e-Legion, и Burger King, и все в промежутке.


Там может быть и студент, работающий за дошираки, и захотевший легкой наживы.


А может быть и злоумышленник, который прямо сейчас поймал Вашу карту и уже купил себе новенький айфон.


Вы никогда не узнаете, ведь если такое произойдет — то Burger King как обычно нагло Вам наврёт и скажет что все «окей, и вообще — «вы окурели».


И репутацию там портить ниже некуда.


---------------------------------


Часть III.IV. Сотрудники, которых нельзя пускать к людям.


Наглая ложь, угрозы, хамство, оскорбления. Это только начало.


Хотя чего ожидать от компании с такой рекламой:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

И такими сотрудниками:

Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение. Бургер Кинг, Приложение, Метрика, Длиннопост, Фастфуд, Шпион, Android, iOS, Видео

[UPD

Аккаунт - фейк]

Оригинальные ссылки:

Ссылки в статье — это архивные копии ссылок ниже, сделанные в целях предотвращения изменения или удаления постов/сообщений Бургер Кингом.


Я не рекомендую читать ответы Бургер Кинга по ссылкам ниже, так как их могли изменить после публикации моей статьи.


Обращение РосКомНадзора ВКонтакте

Пост компании-разработчика приложения e-Legion

IT-директор Burger King сам говорит о собирании информации о пользователях

Информация о Сергее Очеретине — IT-директоре Burger King

Пользовательское соглашение приложения Burger King

Политика приватности AppSee (на английском)

Вы смотрите срез комментариев. Показать все
137
DELETED
Автор поста оценил этот комментарий

меня только одно интересует - почему до сих пор нет в смартфоне огромного всплывающего предупреждения мол "это приложение будет записывать ваш экран, разрешить?" и две кнопки "да" и "нет".

раскрыть ветку (32)
20
Автор поста оценил этот комментарий

Купи старый блэкберри - там такое есть. Притом ты можешь назапрещать настолько глубоко - что приложение может не запуститься (например некоторые сразу проверяют доступ к серваку - если нет, не запускаются)

П.с. кстатии хороший пример. Народу это не нужно - слишком сложно галочки поставить и пошевелить мозгами. Поэтому блэкберри ос загнулась, последние аппараты под андроидом...

раскрыть ветку (19)
2
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Список твоих контактов + журнал вызовов (зная кто кому звонил можно понять что у тебя например авто Лексус, а анализируя голосовой траффик можно понять что он в ремонте). Далее схема кто кому родственник, кто кому начальник. Древо общества.

Сетевой траффик - с телефона же так удобно. Сам того не замечая ты начинаешь лазить и по работе и по нужде в тырнетиках. Опять же статистика - в каких сферах ты шаришь и на сколько глубоко.

Анализируя голосовой траффик можно узнать психотип человека.

Если хоть раз проводил платеж через мобильник - привет статистика по денюжкам (мобильный банк, статистика покупок в каких магазинах, где - среда обитания).

Фото. С геотегами - да ты прекрасен :) где, с кем, куда, зачем и так далее.

Наши органы столько про тебя надыбать не могут, сколько Гугл.


А так да - ничего страшного :)

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
Автор поста оценил этот комментарий

Да, только если приложение нативное. Android runtime там от четвёрки, которая не поддерживает раздельное управление правами

раскрыть ветку (1)
Автор поста оценил этот комментарий

Ну я про штатные приложения говорил. Те, что под эмулятором, я уже не помню - надо проверить.

Автор поста оценил этот комментарий

Зачем старый-то, OS10 вполне ебабельна до сих пор, апдейты ей пишут (хотя релиз 10.3 и давно был, 10.4 вряд ли выйдет уже).


Но вы правы, хомячкам оно не нужно. А там даже получение ID-ников (IMEI и прочее) и характеристик устройства отдельной разрешалкой включалось...

раскрыть ветку (5)
Автор поста оценил этот комментарий

Хоть 10, хоть старая уже не бабельна... Роском заблочил штатный магазин. Это вызывает некоторые трудности в эксплуатации.

П.с. владелец 9800 и z серии :)

раскрыть ветку (4)
Автор поста оценил этот комментарий

А магазин-то за что? Blackberry официально есть в РФ, пусть в суд подают.

раскрыть ветку (3)
Автор поста оценил этот комментарий

Защищённый траффик все дела - так у нас не положено. Видимо. Либо какое-то непотребное приложение - а заблочили весь магазин. Ну как обычно вообщем :)

раскрыть ветку (2)
Автор поста оценил этот комментарий

Заблочили только BBM, у него сервера отдельные от стора.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Блэкберри ид не проходит проверку, нет возможности восстановить пароль. Что на 9800 что на Зед серии. Может я чего не так делаю, но пока это было законно решалось с помощью прокси (щас это нелегально - да и не нужно). Кстатии все приложения в магазине бесплатны (так как поддержки больше не будет)

3
Автор поста оценил этот комментарий

У телефона мейзу на андроиде есть приложение "безопасность", проверяет на вирусы, дает доступ к разрешениям для приложений, чистит мусор. Там можно посмотреть, к чему разрешен доступ у конкретной приложухи, заблочить или выставить "по запросу". Стояла с самого начала, скачать ее ни откуда нельзя, может, конечно, чисто для психологического комфорта стоит и нихрена не делает, но приятно.

раскрыть ветку (7)
2
DELETED
Автор поста оценил этот комментарий

Она действительно нихрена не делает, а "чистка мусора" даже немного вредит.

раскрыть ветку (2)
DELETED
Автор поста оценил этот комментарий

Как, например? Удаляет что-то важное?

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

Нет, просто кэш принудительно сбрасывает и убивает фоновые процессы. Визуально телефон после этого работает более "отзывчиво", но только до тех пор, пока не понадобится запустить приложение, кэш которого был удалён.

Автор поста оценил этот комментарий

На Xiaomi тоже самое. Но что-то мне подсказывает, что не всё оно блочит.

раскрыть ветку (2)
Автор поста оценил этот комментарий
LBE Security Master. Блочит все. Рекомендую ознакомиться на 4pda
раскрыть ветку (1)
Автор поста оценил этот комментарий
Новые андроиды не поддерживаются.
Автор поста оценил этот комментарий

Хз, можно у автора заказать расследование :)

80
Автор поста оценил этот комментарий
Потому что оно записывает не экран,а само себя. Аналогия-чтобы снимать себя в музее на фоне экспонатов нужна денежка,снимать самого себя в своем толкане нихера ничего не нужно.
раскрыть ветку (11)
25
Автор поста оценил этот комментарий
немного не так - в музее снимать нельзя, но делать свои селфи в музее можно
18
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (2)
3
Автор поста оценил этот комментарий
Скачал на телефон. Что интересно, даже в маркете есть отзывы, которые рекомендуют лучше взять программу с официального сайта. Только запустил, она уже рапортует, что 11 элементов заблокированно
раскрыть ветку (1)
1
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
Автор поста оценил этот комментарий

Если что, в музеях снимать фото\видео можно. Снимать картины со стен - нельзя. Нельзя также использовать вспышку или штативы, т.к. их использование может наносить вред экспонатам. (насчет штативов не уверен, там какая-то другая отмазка)

Относительно зарубежных музеев надо сверяться с местными законами.

1
DELETED
Автор поста оценил этот комментарий

так а что это меняет то?

раскрыть ветку (5)
18
DELETED
Автор поста оценил этот комментарий
Да, она записывает не экран, для записи экрана нужно иметь доступ за пределы приложения. Тут она по факту ведёт лог, записывает какие данные в неё вбивались и какие кнопки нажимались. Это происходит внутри приложения, потому это нельзя контролировать. Пример - ты сидишь в будке и делаешь пропуски по паспорту, но будка твоя и доступа никто не имеет, потому тебе никто не мешает делать ксерокопии паспортов, чтобы потом кредитов набрать.
раскрыть ветку (4)
1
Автор поста оценил этот комментарий
Оно записывает видео ui самого приложения
Автор поста оценил этот комментарий

А в посте что за видео тогда? Не приложения на экране?

раскрыть ветку (2)
3
DELETED
Автор поста оценил этот комментарий
Приложение, только не рандомный экран, а именно само приложение. Для этого не нужно разрешений, так как пишется до вывода.
DELETED
Автор поста оценил этот комментарий
Моделирование интерфейса приложения с помощью данных из логов
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку