24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Недавно некий кун провел анализ приложения БК, и был неприятно удивлен тем, что приложения, с помощью сервиса AppSee записывает и отправляет видео всего, что происходит на экране (причем не только по WiFi но и расходуя мобильный трафик).
Предлагаю немедленно удалить приложение, отправить запрос на отзыв персональных данных и в соц сетях использовать тег #BurgerKingДавайДоСвидания #BurgerKingДавайДоСвидания #BurgerKingДавайДоСвидания #BurgerKingДавайДоСвидания #BurgerKingДавайДоСвидания
Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.
Как выяснилось — людям небезразличен шпионаж за ними.
Расследование понравилось и хакерам.
С момента публикации, на мой блог совершили десятки хакерских атак.
-------------------------------------
Примечание: все ссылки на официальные ответы и ресурсы Burger King — архивные, в целях предотвращения редактирования либо подмены своих постов администрацией Burger King после или во время написания данной статьи.
Для архивирования ссылок используется проверенный сервис archive.is.
Все оригинальные ссылки — в конце данной статьи. -------------------------------------
Часть I. Ответы.
Компания Burger King молчала и нагло игнорировала вопросы своих клиентов в течении целого дня после публикации расследования, и ответила только после прямого обращения РосКомНадзора.
Какой ответ мы получили?
I.I. Официальный ответ Burger King ВКонтакте.
Ну что же, давайте разбирать по пунктам.
-------------------------
Во-первых — под «европейским законом о защите персональных данных» подразумевается GDPR.
Он действует только для Европейского Союза, и Россия де-факто не имеет к нему никакого отношения.
Российский Burger King ему не подчиняется.
Burger King обязан следовать Федеральному закону “О персональных данных”, но он ему не следует.
-------------------------
Во-вторых — «мы не делаем запись».
В моём оригинальном расследовании чётко видно, что приложение Burger King не просто записывает экран, а делает это постоянно.
В том числе — во время ввода реквизитов банковских карт.
-------------------------
В-третьих — «получаем обезличенную аналитику по работе приложения».
О какой обезличенности идёт речь, если Burger King получает номер телефона, имя, и почтовый адрес клиента (компания-разработчик приложения Burger King сама об этом говорит) при регистрации и использовании приложения?
Также, Burger King хранит детальные данные о каждом пользователе, что подтвержает директор по digital-проектам Burger King Сергей Очеретин.
Он известен как @SergeyBurgerKing.
Сергей открыто заявил, что «проверил мои аккаунты» (после недвусмысленного намёка на то, что знает мое местоположение; на момент написания статьи комментарий удален) и что у Burger King есть «логи» (запись действий) каждого пользователя. В-четвёртых: «или об этом уже нельзя говорить?»
Burger King ни разу не отвечал на вопросы о слежке до этого комментария.
Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).
Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.
Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».
-------------------------
Запись экрана — доказана.
Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.
----------------------------
I.II. «Опровержение»
Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.
Они говорят, что (далее цитата):
- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик
----------------------------
Давайте пройдемся по каждому из пунктов.
Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».
Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает. В-четвёртых: «или об этом уже нельзя говорить?»
Burger King ни разу не отвечал на вопросы о слежке до этого комментария.
Они наглейшим образом игнорировали вопросы своих клиентов и начали отвечать только после прямого обращения РосКомНадзора. (о чем я написал выше).
Здесь Burger King делает вид, что они якобы уже об этом говорили, но на самом деле — не было ни одного ответа.
Ответ на обращение РосКомНадзора — их первый за все время, и они сразу же пытаются манипулировать мнением говоря «или об этом уже нельзя говорить?».
-------------------------
Запись экрана — доказана.
Благодаря вышеперечисленным аргументам можно сделать вывод, что Burger King снова лжёт.
Вскоре, после того как Burger King ответил ВКонтакте — опровержение выпустила и компания-разработчик приложения Burger King.
Они говорят, что (далее цитата):
- Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
- Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
- Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
- Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
- Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик
----------------------------
Давайте пройдемся по каждому из пунктов.
Пункт первый — «скрытие личных данных при записи видео для аналитики прописано в коде приложения, данные скрываются до того, как покинут мобильное устройство».
Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает. Часть II. Доказательство записи и передачи банковских данных.
Вступление
Самой главной претензией ко мне было то, что я показал только скриншот из перехваченного мною видео, а само видео — не показал.
Этим мгновенно воспользовался Burger King и в отдельности Сергей, чтобы обвинить меня якобы во лжи.
Это же подхватили и все остальные, начав беспочвенно обвинять меня в «набросе», аргументируя это тем, что я не показал видео. Доходило до прямых оскорблений и угроз.
------------------------------------------------
Почему же я не показал сначала видео?
Все просто — я тоже человек Во-первых — я не сохранил видео с банковскими картами (я его смотрел из программы-инспектора трафика, и не сохранил), а скриншот показал из другой записи, которую загружать смысла не было. Во-вторых — сделав оригинальный пост-расследование ночью, я не пошел спать. Я забыл про сон и стал отвечать каждому в комментариях. Чуть позже — журналисты обнаружили моё расследование, поднялся резонанс, и я сидел отвечал не только на комментарии, а и на письма и сообщения журналистов. Просидел я так очень долго, и сидел бы дальше. Но увы, у меня нет кнопки «отключить сон и отвечать всем», поэтому я пошел спать. Проснувшись от кучи уведомлений на своём телефоне, я в полусне увидел что от меня хотят видео. Причем не просто хотят, а хотят с оскорблениями, с угрозами, с хамством. Я думаю, что моя реакция на подобные требования ночью была очевидна — послав всех оскорбляющих меня хамов я лег спать дальше. А люди, поливающие меня помоями, видимо считали, что я обязан по первому щелчку пальцев бежать что-то делать. Нет уж. В какой-то момент я решил вообще всё послать и ничего не делать (оскорбления не добавляют желания что-то делать). Но, решил все-таки доказать, что я был прав. Когда проснулся — вспомнил что нужно сделать видео. Сделал.
------------------------------------------------
Часть II.I. Видеозапись, сделанная приложением.
Данное видео было перехвачено мной из копии трафика приложения Burger King для iOS (версия 2.2.0 — последняя).
Видео никоим образом не модифицировалось, трафик и код приложения не менялись.
>>179478058 (OP) >сеть говножрачки следит за вводимым говном в её приложении в тч и данными карт >банки блочат карты и не дают воспользоваться деньгами, пока не узнает на что ты тратишь СВОИ деньги >ндс 20% >пенсионный возраст опять подняли >железный занавес потихоньку опускается >все обсасывают проблемы в фейсбуке, но не спешат что-либо делать >у путина 3/4 голосов Норм пацаны, в 2024 заживете)
>>179478058 (OP) по этой причине я не пользуюсь никакими приложениями кроме такси, у меня даже на телефоне нет онлайн банка, хотя счета и карты там открыты, а все сервисы гугла нах вырублены
>>179478058 (OP) ну так-то непонятно, кто работает в какой компании и какие цели преследует и под каким соусом подает ту или иную информацию. Контингент определяет...
Блядь, сначала подумал, что они снимают камерой и обрадовался, решив, что какая-нибудь тянучка видела мой хуй, а потом понял, что записывали экран. А его только в приложении записывали? Если не только, то она все равно могла увидеть мой хуй.
В голос с даунов, которые про это ахуенно кстати удобное приложение узнали только со статьи на пикабу, а так в жизни по неделе копят деньги на обед в бк
Ладно, допустим, ДОПУСТИМ, модуль Appsee пишет видос в момент краша приложухи. Ну и что это даст? На экране будет видна только надпись: приложение не отвечает, подождать/закрыть/ок. Ну и как это видео поможет в отладке багов?
>>179484554 Можно заменить "Украина" на "Россия" и поменяется мало что, лол. Россия и Украина — это же братья. Один народ, одна вера, один мозг. Даже срач рашки и хохляндии напоминает сору двух хронических алкашей с пропитым мозгом. Ай, блядь, что вам, ватникам и хохлоблядям объяснять? Короче, следуйте на хуй, славянобыдло.
>>179478058 (OP) >Недавно некий кун провел анализ приложения БК, и был неприятно удивлен тем, что приложения, с помощью сервиса AppSee записывает и отправляет видео всего, что происходит на экране Объясните-ка быдлу тупому. А зачем проводить анализ приложения, если оно ещё при установке просит разрешить доступ ко всем данным?
>>179478058 (OP) А нахуй нужно это говноприложение от забегаловки кроме как собирать информацию о дебилах, шпионить за ними и продавать им больше говна?
Пиздец блять, 2к18, чтобы перекусить дебилы ставят приложения! Хоспаде, скорей бы какой-нибудь астероид разъебал земляшку.
>>179486505 Более того они слепо соглашаются с условиями использования, предоставляют полные права на управление устройством, а после удивляются результатам. Вот они охуеют когда узнают за счет чего живут например бесплатные впн.
>>179486631 >слепо соглашаются с условиями использования, предоставляют полные права на управление устройством Где-то недавно читал, что вообще все приложения сначала начинают пользоваться теми разрешениями, что им требуются, а потом уже для вида спрашивают у пользователя. Нет у кого подробной инфы?
>>179486499 аххахаха, получше. Когда я хотел работать с хохлами, мне матушка, царствие ей небесное, сказала: Витя, стреляй где был хохол — еврею делать нечего. Короче, в общей массе, что русские, что украинцы — это дерьмо. Как и евреи, например. Говорю, как представитель этого, кхм-кхм, народа.
вот объясните, почему каждый раз когда я беру в одном магазине газеты с новостями, продавщица ведеь себя как непрошенный психолог. То отметит, что я стереоьипно мыслю, когда беру газеты из одной сферы подрят, то, подмишммгнув, скажет какие нить скандальности про знакомых, то выложит газеты одна за другой с таким многозначительным видом, будто это целый пазл. Конечно, теперь-то я уже стараюсь не обращать внимания на ее поведение аки гуру этой вселенной, но иногда реально цепляет. мимо-оффтоп-лень искать нужныйтред
>>179479476 На украхе ндс не 20%? И пенсионный возраст не будит повышаться? До 2021 года пенсионный возраст для женщин будет постепенно повышаться до 60 лет Ну да ладно, у других же всегда хуже.
>>179478058 (OP) У тебя по твоему же ликну на хабр эту тему обсосали и автора обоссали. Все приложения собирают метрику, почти все сайты собирают метрику. прямо сейчас абу может чекнуть, в какой части ты чаще всего держишь указатель мыши, дебич блядь. Иди нахуй и уноси свою хуйню обратно в одноклассники или на пикабу, откуда ты там вывалился
>>179487777 ох, конечно, может он еще в курсе какой глаз у меня парализован и какой длины пальцы на ногах? Особенно, если я не выкладывала фото глаз и ног в сеть?
>>179487906 Так выпили блядь их из приложения, хули ты блядь такой охуенный?
не пользуй говно и не будет вонять. Необучаемые блядь. Двач помоги я получил паспорт, каждый месяц отчитываюсь в налоговую о своём достатке и отчитываюсь в военкомат о любых изменениях касаемых работы, учебы и жилья. Мне кажется кто-то имеет доступ к моей личной информации! Пиздуйте в лес нахуй шишки жевать и не забудьте с собой шапочку из фольги взять, а то вдруг белки за вами следят.
>>179487777 Вся суть не в метрике, а в записи экрана и получения доступа к данным твоей карты хуй знает кому.И да, все в курсе, что одманы бк ракуют здесь, так что можешь не семенить, проплатка
Они могут знать эту инфу как и тсыячи других разрабов юзабщий appsee - ЗНАЧИТ ОНИ ЕЁ ЗНАЮТ ПРОДАЮТ И ВОРУЮТ МОИ ШЕКЕЛИ КОТОРЫЕ Я ХОТЕЛ ПОТРАТИТЬ НА КАРТОШЕЧКУ ФРИ
>>179488051 Может ты ещё насильников оправдываешь, тем что жертва шла одна ночью? Запоминай, пидарахен, хорошо будет, когда исчезнут преступники, а не когда от них все спрячутся.
>>179487906 да и расширениятащат генужные прикрутки часто, как я догадываюсь. Что еще, может превратить квартиру в бункер, чтобы срседям минусовуб слышимость опеспечить, а то мало ли уши большие у них.:D
>>179488209 >Парень, а шаг с установкой Fiddler CA в систему ты пропустил? К чему твои повторяющиеся "нет certificate pinning"? Ты понимаешь вообще, для чего нужен CP или просто услышал где-то, что это круто >это на пикабу в комментариях сказали просто
Это вот эти обоссали, да? Хабр давно стал помойкой для чсвшных ебланов. Но даже там адекватные люди пришли и пустили струю на лицо автору сей хуйни. На реддите блядь вообще выпилили пост, что как бы намекает
>>179488315 в смысле? Да просто ужесточить модерацию. Делов то. И поменьше тезникой пользоваться. тем более по новым заклнам. тут не уьеречься. так то любая контора связанная с компами - это прежде все бищнес, то есть когда приоритет - деньги. Глепо ожидать отсуьствия крыс и привязывать телефоны и антивиры. просто не общаться через сеть особо. либо подсекать где идут утечки и пытатбся пресечь.
>>179488472 Хм.. Дайте как подумать... Может быть тысячи тех, у кого есть доступ к этим данным? Не хочешь, что б у тебя спиздили деньги с карты - не ИСПОЛЬЗУЙ КАРТУ дебил блядь. Этот плстиковый кусок говна с его убер-защитой слился давно Галей из СБ, которая пила кофе и ставила его на листок с твоими данными, после чего выкинула его в помойку.
>>179488470 > На реддите блядь вообще выпилили пост, что как бы намекает Что это проплаченная помойку ещё хуже двача. Работу нормальную найди, а не какай в интернете, проплатка.
>>179478058 (OP) Да это же дешевая параша. Удивляюсь, что еще кто-то ходит к ним, когда они открытым текстом запускают рекламные кампании, завлекающие наташек на хуи иностранцев. Кто помнит?
Автор подменил ответ сервера и якобы СДЕЛОЛ видео-пруф, что данные не скрываются. Его два дня просили пруф предоставить, а он НЕ ХОТЕЛ. Зато как на хабре подсказали как сделать, так сразу он сразу выложил доказательство, попутно пиаря свой БЛОЖИК. Надо затравить уебка.
>>179488885 >Удивляюсь, что еще кто-то ходит к ним, когда они открытым текстом запускают рекламные кампании, завлекающие наташек на хуи иностранцев. Ты реально готов перестать есть в какой-то забегаловке из-за такой хуйни? Ты из этих, что ли, ИДЕЙНЫХ?
>>179478058 (OP) Забил хуй на этих пидоров пару лет назад, когда они стали в своей рекламе активно использовать мемы и прочий контент. К чёрту этих рачков.
>>179478058 (OP) Сделали анализ этого "РАЗОБЛОЧЕНИЯ", все данные карт и пароли шифруются на видео, эту статистику собирают не со всех, а только с 300к юзеров, если тебе это не нравится, ты можешь написать в поддержку "удалите меня из выборки AppSee", ты петух, долбоёб, и слишком жирный, твоя мать умрёт в ближайшие пару лет.
>>179478058 (OP) > Недавно некий кун провел анализ приложения БК, и был неприятно удивлен тем, что приложения, с помощью сервиса AppSee записывает и отправляет видео всего, что происходит на экране (причем не только по WiFi но и расходуя мобильный трафик). ОПА
>>179492089 По факту то оно записывает все что ты делаешь. Может я там на коней дрочу и обсуждаю техники стимулирования анальной жопы? Так себе отмазка. ДА ЭТА ХУЙНЯ СЛЕДИТ, НО ДАННЫЕ КАРТ ШИФРУЕТ))) А вообще это опущенство поставить на смартфон ваше приложение
Просто интересно, а Абу не зашкварно понимать, что он работал с такими хуесосами и пиарил это говно в /b и вообще у себя на борде? Я бы сквозь землю упал, но это же Макакич, у него совести нет
>>179495273 Если ты используешь любое современное приложение на компе/телефоне/планшете с выходом в интернет, то, скорее всего, твои действия логгируются и куда-нибудь отправляются. Тут надо использовать презумпцию виновности — любое приложение следит за тобой, если ты на 100% не уверен в обратном.
>>179492089 Хуясе ПОДРЫВ у маркетологов Бургер Кинга! Аж на душе потеплело. Мало того что продвигают кал вместо еды, так еще и своих же клиентов наебывают.
>>179486631 На айфоне не спрашивают разрешения. Априори считается, что Эппл заботится о даных своих пользователей и не допустит говна. Если на айос такая же слежка и открытость данных карт пользователей, то это обсер Эппл в первую очередь. >>179486505 Можно поесть намного дешевле. Есть акции, которые доступны только через приложение.
>>179497336 ...а я буду писать "сага". Все будут рады. Но тебе тоже придётся вводить гугл капчу. Кто первый сдастся? Найдёт ли твой тред кто-то ещё? У меня есть ещё полтора часа, игра началась.
>>179478058 (OP) А что любой сайт подрубленный к аналитике записывает видео твоих действий на сайте, тебе ну смущает? Полный детальный анализ всех твоих действием с определение браузера, страны, устройства и тд.
А тут прям загорелось, пок пок пок, САБИРАЮТ ЛИЧНАЮ ИНФУМРАСИЮ РЯЯЯ!
>>179485266 реально, я однажды покупал подписку на приватный чит, вбил карту и слехка прихуел, когда танзакция прошла, а подтверждения я НИКАКОГО не делал.
>>179497949 да в общем то похуй, что на бургер, что на хуюргер, но причину бугурта реал понять не могу. Если ОПу опять же рассказать про функцию веб визор в той же яндекс аналитике, он так же начнет расследование по всем сайтам, где она стоит, тупость же.
>>179478058 (OP) Еще одно доказательство того, что в Рашке работают не программисты а быдлокодеры. Труъ программеры если не свалили, то давно работают на серьёзные иностранные филиалы
>>179485645 ZTE w какой-то там 2 симки, аккум.на 1300 мА, без фронталки и 512 ОЗУ олды блять в треде, разолись нахуй все, до сих пор пользуюсь 5лет блять я не один такой с этой хуйнёй хочу, чувачёк терпения, ЕОТ, счастья, здоровья. Ты откуда такой?
АЛЯРМ! По треду летает порванный сотрудник бургера и пытается сагать уже взлетевший тред. Что косвенно подтверждает его умственную неполноценность как будто кто сомневался, в том, что в тошниловки идут работать только конченные без скилов, которые больше нигде нахуй не усрались. Всем сохранять спокойствие!
>>179499466 Только благодаря твоим сагам, я разослал всем своим знакомым данный тред для ознакомления. Если бы не ты, мне бы было лень это делать. Спасибо за мотивацию.
Хочешь стать стримером, но не знаешь как? Установи приложение БургерКинг! Оно будет стримить все твои банковские и личные данные в интернет! Даже с iPhone!
ВНИМАНИЕ! ОБРАЩЕНИЕ КО ВСЕМ СОТРУДНИКАМ BURGER KING ИТТ Вы должны сагать тред в три раза эффективнее, иначе продажи упадут и руководство будет вынуждено понизить вашу зп ровно в два раза, до одного рулона туалетной бумаги в месяц
>>179478058 (OP) Да хули, у них се равно сырный соус убогий. Хожу туда только когда баллы Спасибо накапливаютсЯ, потому что платить деньги за это хрючево - полный зашкере.
>>179501015 создавай, блять, дебил ебаный. Тут правил нет, а ТАМ ЕСТЬ. Вайперу пригорит что тред там живет, он прибежит туда и начнет вайпать и будет озалуплен.
>>179478058 (OP) >Недавно некий кун провел анализ приложения БК, и был неприятно удивлен тем, что приложения, с помощью сервиса AppSee записывает и отправляет видео всего, что происходит на экране (причем не только по WiFi но и расходуя мобильный трафик). >2138 ОБНОВЛЯТЬ и вообще ПОЛЬЗОВАТЬСЯ какими-то приложениями, кроме калькулятора
Предлагаю немедленно удалить приложение, отправить запрос на отзыв персональных данных и в соц сетях использовать тег
#BurgerKingДавайДоСвидания
#BurgerKingДавайДоСвидания
#BurgerKingДавайДоСвидания
#BurgerKingДавайДоСвидания
#BurgerKingДавайДоСвидания
Подробно об этом описано здесь:
https://habr.com/post/416919/