Разбор поста fennikami о слежке со стороны Бургер Кинга.
Изначально эту простыню я оставил в виде комментария к посту https://pikabu.ru/story/burger_king_taynaya_slezhka_lozh_khi... за авторством @fennikami
Укажу сразу: считаю, что Бургер Кинг напортачил с лицензионным соглашением. В целом я согласен с мнением юристов Роскомсвободы. Но это стоит обсуждать отдельно. В оригинале автор в основном интересуется видеозаписью.
Собственно, целью данного разбора является только лишь попытка взглянуть критически на вышеуказанный пост. Также я буду часто его цитировать.
Итак, en garde!
Начинается пост с дисклеймера, в котором легонько пиарится блог (в котором кроме данного расследования пока ничего нет, зато есть возможность пожертвовать). Но это вроде бы ничего, имеет право.
Дальше он ссылается на непроверяемые хакерские атаки.
С момента публикации, на мой блог совершили десятки хакерских атак.
По-прежнему, ничего криминального. Но определённое впечатление создать получилось. Не Сноуден с Ассанжем, но что-то вроде.
Дальше он разбирает ответ Бургер Кинга ВКонтакте, а я разберу его рассуждения.
Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.
Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.
Российский Burger King ему не подчиняется.
Подчиняется. По крайней мере, обязан по правилам сотрудничества с AppSee.
Во-вторых — «мы не делаем запись».
В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.
В том числе — во время ввода реквизитов банковских карт.
На самом деле по оригинальному расследованию нельзя убедиться в том, что приложение делает запись постоянно и во время ввода реквизитов. Понятно, что в этом мало кто сомневается, но строго говоря, это ещё не было доказано. Именно поэтому на хабре просили видео.
Вообще здесь уже начинаются танцы с демагогическим бубном. Постоянный упор на то, что "я доказал", "они лгут" и всё такое. Как при защите диплома математика: иногда в скользких местах достаточно сказать "очевидно, что", и всё получится. Это не то чтобы нарушение само по себе, просто изобилие таких "самоочевидных" моментов позволяет скрыть логические ошибки.
О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?
Сотрудником имелось в виду другое. Вместо записи непосредственно Бургер Кинг получает статистику, обработанную AppSee. То, что вводится в формах и отправляется напрямую в Бургер Кинг, никак не относится к факту записи видео и регулируется соглашением, принимаемым изначально при использовании приложения. Там, правда, куча проблем, но это уже совершенно другая история. Я разбираю только оригинальный пост, а не ситуацию в целом.
Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.
Это регулируется тем же соглашением, к записи видео отношения не имеет. Простая клиентская база.
Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.
Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».
Вообще бред. О каком манипулировании речь? Там смайлик с глазами и полицейским. Шутка была о том, что упоминание европейского закона делает их предателями родины, и скоро за ними придут.
Запись экрана — доказана.
Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.
Демагогический вывод с потолка. Можно хоть через строчку повторять жирненьким, что запись экрана доказана, но рационального посыла это не несёт. Что там за "аргументы" были?
1. Упоминание GDPR ложью не является, AppSee ему и следует, что не так-то?
2. "Мы не делаем запись" - неудачная формулировка, вернее было выразиться "мы не используем и не получаем записи". Но если ключевым в данной фразе является "мы", то в принципе это уже вопрос передачи ответственности. Мол, это не мы, БургерКингРаша, делаем запись, мы только косвенно к этому относимся, потому что попросили разработчиков привязать приложение к AppSee, а путём каких-то там махинаций получаем от них статистическую выжимку. Так что с натяжечкой это тоже не прямая ложь. Да, запись видео ведётся. Нет, она не используется и не хранится в качестве записи Бургер Кингом.
3. Статистика, получаемая после обработки записи, является обезличенной, и именно она попадает в Бургер Кинг. Опровержения этому нет и не будет. Всё остальное - например, e-mail, который ты специально вводишь, чтобы тебе писали о новых акциях - к делу не относится и регулируется отдельно. Это не ложь.
4. Непонятная надмозговая придирка к шутеечке. Лжи там нет.
Таким образом, по этим четырём аргументам ТС невозможно выявить ложь в ответе БургерКингРаша.
Далее у нас идут шесть пунктов, "разоблачающих ложь разработчиков".
Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».
Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Скрытие данных действительно прописано в коде приложения. Никто не утверждал, что оно там намертво вклеено и не может быть изменено. В данном случае у нас есть опция. Нарушением это, насколько я понимаю, не является.
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.
Пффф, ну так они в любом случае поступают. У них так и так есть личные данные, полученные по соглашению. Хотят - скрывают, хотят - не скрывают. Только конкретно это видео получает не Бургер Кинг, а AppSee, действующее по необоснованно критикуемому GDPR, и у них однозначно прописано, что данные о банковских картах собирать запрещено. Но какая разница, они ведь могут плюнуть на миллионные штрафы и просто подглядеть, так? То есть, наличие инструмента (а он и у любого браузера есть) равносильно преступлению?
Это инкриминировать нельзя.
Дальше пошла откровенная подтасовка.
Таким образом, мы делаем вывод, что утверждение «данные скрываются» — это очередная наглая ложь со стороны Burger King и их команды разработчиков.
А вот тут интересно. Затупок (прости, так проще) получил такое видео, подменив ответ сервера. И по его словам, fennikami подтёр другие его комменты на хабре, в которых Затупок подвергал сомнению слова fennikami о том, что fennikami ничего не подменял.
В любом случае данные действительно скрываются, если ты сам не захочешь, поковырявшись в телефоне и внеся изменения в корректную работу приложения, их вытащить. Обратного не доказано.
Пункт второй — «Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам».
Как мы выяснили в разборе первого пункта — данные не скрываются и не шифруются. Они передаются на удаленный сервер в открытом виде, и там хранятся.
Нет же. Данные по факту передаются на удалённый сервер с прямоугольниками.
Доступ к этим данным имеют все, кто связаны с приложением, а также с метрикой AppSee.
Вот это вообще с потолка. Там тонны дополнительных соглашений, зачем ими интересоваться? Только что же представитель БК написал, что они получают только статистику, а не видео. Опять же есть ответ команды разработчика приложения. Какие-то реальные основания сомневаться есть? Может быть, запись передачи видеозаписи от AppSee кому-то ещё, в частности, самому Бургер Кингу?
Пункт третий — «Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением».
Как мы выяснили в первых двух пунктах — Burger King имеет доступ к записям экранов пользователей и их платежным данным, поэтому данное заявление — лживое и призвано ввести клиента в заблуждение.
Первые два пункта содержат логические ошибки, поэтому не могут служить основанием для дальнейших рассуждений.
Пункт четвёртый — «Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения».
Здесь мы приходим к официальному подтверждению записи экрана без размытых формулировок.
Однако, ведь в своём официальном заявлении Burger King говорил, что они не записывают экран! Как же так?
Если интерпретировать двусмысленный ответ представителя БК не так в лоб, то всё вполне укладывается. БК попросили е-легион привязать их приложение к AppSee, непосредственно к осуществлению записи они имеют косвенное отношение. Да, это можно трактовать по-всякому, и ответ БК был двусмысленным, но имел в виду он другое.
Судя по многочисленным жалобам и отзывам на приложение — оно очень медленное и плохо работает.
Никакого «улучшения работы приложения» нет.
Прелесть. "Приложение работает медленно, значит, все фичи, предназначенные для отладки и удобства пользователя - ложь."
А попытка косвенного анализа улучшения работы, который обречён на ложные выводы, - это такое откровенное натягивание, что просто караул.
Пункт пятый — «Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей».
AppSee — сервис аналитики, и Burger King постоянно заявляет что сервис «следует GDPR», однако — как мы уже высянили, для России соблюдение GDPR ничего не значит. А вот Федеральному закону “О персональных данных” он не подчиняется.
Значит — опять ложь. Ведь главному закону о персональных данных — AppSee не подчиняется.
Гениально. AppSee подчиняется европейскому закону, который жёстче регулирует обращение с личными данными, чем наш ФЗ. Это как принадлежность элемента множеству, вложенному в данное. И потом, где доказательство, что AppSee не придерживается нашего ФЗ? Информация о нарушениях со стороны AppSee?
Собственно, сама AppSee указывает вот что: While the data protection laws in the above locations may be different from the laws of your residence or location, please know that Appsee, its affiliates and service providers that store or process your Personal Data on Appsee's behalf are each committed to keep it protected and secured, in accordance with this Privacy Policy and industry standards, regardless of any lesser legal requirements that may apply in their jurisdiction. - если кратко, то они обязуются соблюдать все встречающиеся в работе их партнёров соглашения и законы о личных данных.
Основания не доверять?
Пункт шестой — «передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик».
Тестирование показало, что передача видео происходит и по Wi-Fi, и по сотовой сети.
Более того, собственное видео команды e-Legion (разработчик приложения Burger King) из их поста доказывает, что загрузка происходит и по сотовой сети.
Не вижу результатов тестирования на мобильной сети без вайфая. Видео команды разработчика записано с панели AppSee, а при выборе партнёром AppSee опции Record Always & Upload on WiFi - Sessions are always recorded but are uploaded only when a WiFi connection is available ничто не мешает записывать видео в любой момент, а отправлять только по вайфай, не тратя трафик. Доказательств обратного не предоставлено. А мнимые "результаты тестирования" заставляют сомневаться в беспристрастности человека. Подтасовка - не лучший способ борьбы с подтасовками.
Далее.
Опустим его ответ на претензии по поводу видео. Меня интересует следующая часть, где он пытается представить в качестве доказательств свои собственные слова по поводу чистоты его эксперимента.
Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).
Видео никоим образом не модифицировалось, трафик и код приложения не менялись.
Нет подтверждения того, что код не менялся. Абсолютно у всех пользователей, кинувшихся проверять и не влезавших в код, банковские данные были спрятаны. Не могу считать это чем-то иным, кроме как откровенной ложью fennikami.
По параметрам (разрешение, FPS, битрейт) — моё видео полностью совпадает с видео, на которое ссылается команда-разработчик приложения Burger King в своем посте, заявляя что поля ввода данных «закрашиваются».
Если заглянуть в код, то мы увидим, что эти параметры тоже регулируются ответом сервера. И я не вижу большой проблемы отредактировать любое видео для соответствия его нужным параметрам (VideoBitrate = 36; VideFPS = 2; VideoHeight = 256; VideoWidth = 144). Почему соответствие этим параметрам вдруг становится доказательством?
Хочу отметить очень важное доказательство того, что моё видео — действительно из приложения: на нём не видно статус-бара (строки с уровнем сотового сигнала, времени, заряда батареи), вместо него — пустое место.
Такое видео может записать только само приложение.
Почему?
На iPhone (а именно на нём я и запускал приложение) — невозможно скрыть статус-бар при использовании средств ОС для записи дисплея (а других — не существует).
На моем iPhone нет jailbreak (взлома ОС) и стоит последняя версия iOS, поэтому у меня нет возможности скрыть статус-бар или использовать сторонее приложение для записи экрана.
Поэтому единственный вариант получить такую запись — это чтобы приложение само себя записало, так как на iOS оно не может записать системные элементы кроме клавиатуры.
Также сравните пустые статус-бары на записях предоставленных Burger King, и на моем видео. Они совпадают, их нет.
Смешно даже. Я вам не вру, потому что я не лжец.
Где доказательства, что у этого "18-летнего любителя ковыряться в приложениях" нет джейлбрейка?
Меня вообще напрягает такая черта. Если человек начинает, суетясь, накручивать десятки непрочных доказательств вокруг одного простого, в сущности, предмета, то я склонен подозревать, что меня хотят обмануть. Может, я параноик, но после таких танцев вокруг вопроса, настоящее ли это видео, у меня уже появляются к нему вопросы. Без этих танцев - "видите-видите, статус-бара нет, битрейт и разрешение совпадают, jailbreak у меня нет, мамой клянусь, код приложения не менялся, папой клянусь" - вопросов, скорее всего, не возникло бы.
Прочее тоже можно было прокомментировать, но уже нет надобности. Информация о фейковом аккаунте "ЖеняБургерКинг" была внесена в тот пост.
Итого я считаю пост представителя e-Legion самым адекватным и объективным среди представленной демагогии. Ну и надеюсь, что fennikami не внесёт меня в чс, поскольку сознаю, что мой пост может выглядеть достаточно неприятно.
Так как я не являюсь непогрешимым, и в мои методы обработки данных могут вкрадываться ошибки, то милости прошу критиковать или одобрять. Приглашаю всех к дискуссии!