"Burger King" следит за тобой, или баг системы

Недавно в сети появилась информация, что приложение "Burger King" записывает данные с вашего телефона, а доступ к этой информации могут получить другие люди.

В одном популярном информационно-развлекательном сообществе Pikabu появился пост "Приложение Burger King тайно записывает экран телефона!". Автор этого поста под ником "fennikami" рассказывает и описывает, как он определил, что приложение Burger King ведет запись с вашего телефона.

Представляю вашему вниманию его расследование:

Что это такое?

А это запрос от приложения к серверу (сверху) с инфой вроде его версии, модели телефона, времени запуска, разрешении дисплея. Вроде бы все окей, да?

Но! В ответ телефону прилетает информация (снизу) о том, как записывать видео с экрана. o_O

Причем, параметр MaxVideoLength (максимальная длина видео) указан, как "0", что значит – бесконечная запись (при запущенном приложении)! 

Т. е. – приложение не просто записывает экран, а делает это постоянно, и ровно таким же образом постоянно отсылает запись на сервер. Как Вам, пользователи мобильного интернета? :)

О, а вот и запись экрана отправляется на сервер!

Обратите внимание на адрес *.appsee.com/upload (о том, что такое AppSee – в конце) слева и сам файл mp4 справа (все эти квадраты – видео в сыром виде, которое в живом эфире отправляется на сервер).

Ну и вишенка на торте: экран записывается даже тогда, когда Вы вбиваете данные своей банковской карты в приложение (и это необходимо для совершения заказа).

Ну и финальная вишенка: AppSee – это такая метрика (статистика) для приложений, и чуваки специализируются на таком вот способе отслеживания приложения для разработчиков/маркетологов. 

Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть – совершенно левые люди), да и сам AppSee тоже. Напомню – видео записывается даже тогда, когда вы вбиваете данные своей банковской карты. И к нему имеет доступ, кто попало.

Вот так выглядит само видео:

P. S: Еще там страшная Яндекс.Метрика и Crashlytics, и вот если Crashlytics можно хоть как-то доверять, то Яндекс собирает инфы столько, что глаза на лоб лезут.

___________________________________________________________________________________________________
UPD: приложение Burger King записывает прикосновения к экрану и может сопоставлять их с видео на экране, и эта информация, как и видео, доступна целой куче людей

Вот так и завершается повествование, о том что Burger King следит за нами и без нашего ведома собирает информацию. Вчера, 12 июля, пришел комментарий Burger King России по поводу появившихся в сети новостей о персональных данных пользователей нашего мобильного приложения.  

"Мобильное приложение Бургер Кинг с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны – Яндекс.Касса. Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере. Более того, данные а) обезличены и б) закодированы, так что даже при большом желании невозможно получить персональные данные. Приложение разработано для того, чтобы гости Бургер Кинг могли заказывать и забирать заказы у нас без очереди, и мы использовали лучшие российские и западные наработки, чтобы гарантировать безопасность данных наших любимых гостей. Это единственное приложение в стране, способное обрабатывать миллионы транзакций", – сказал Сергей Очеретин, диджитал-директор "Бургер Кинг Россия".

1. Какой функционал у мобильного приложения Бургер Кинг?

Это приложение помогает не стоять в очереди и оплатить заказ через защищенные протоколы Яндекс.Касса. Позволяет получать бонусы и эксклюзивные скидки и в скором времени можно будет заказать доставку на дом.

2. Правдива ли информация о сборе данных банковских карт пользователей?

Нет, информация носит недостоверный характер. Приложение Бургер Кинг действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ – AppSee, которая позволяет выявлять технические проблемы и другие "узкие" места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы. 

Эта система не имеет ничего общего со сбором персональных данных, более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде).

Итого: 1) Сам сервис не записывает данные банковских карт и 2) Наш эквайринг (Яндекс.Касса) не передает нам данные банковских карт.  Так что никто, включая AppSee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками (см скриншот из записи AppSee ниже).

Пример аналитики AppSee – данные о карте скрыты черным прямоугольником

3. Получают ли партнеры AppSee доступ к данным клиентов?

Все данные приходят на сервер в обезличенном виде (то есть не видно имени пользователя и его личных данных, см пример во вложенном видео). AppSee работает под европейским законом о защите персональных данных, поэтому любой сбор таких данных обернулся бы для них огромными штрафами со стороны большого количества государств.

4. Как пользователю отключить "слежку" за собой?

Это и близко не похоже на слежку. AppSee подключен не ко всем пользователям, а к небольшой выборке. Сервис анализирует менее 10% от всех сессий (действий в приложении, выбирается случайно), ведется только при наличии wifi соединения и никогда не производится через мобильные сети связи (https://www.appsee.com/tutorials/recording-settings) . Без проблем можно исключить себя из выборки, достаточно прямо в форме обратной связи внутри приложения написать об этом.

5. Как Бургер Кинг использует эти данные?

Мобильное приложение Бургер Кинг – это инновация, первый в мире сервис, позволяющий людям делать покупку в ресторане удаленно, не стоя в очереди, а потом просто забирать без лишних слов на кассе. Для этого приложение Бургер Кинг подключено к международной системе AppSee, которая и анализирует блоки, требующие усовершенствования.

6. Бургер Кинг использует данные для рекламы или продажи третьим лицам?

Мы не получаем личных сведений о госте, кроме номера телефона, имени и имейла. Даже данные, которые мы получаем (имя, телефон и имейл) нам нужны только для того, чтобы начислять нашим гостям бонусы за заказ (до 15% с каждой оплаты возвращаются гостю в виде бонусных баллов).

7. Запись реквизитов банковских карт не противоречит требованиям безопасности пользовательских данных?

Записи номера банковской карты нет. Данные, которые мы и AppSee видим – обезличены и закодированы.  

8. Сколько человек пользуется мобильным приложением Бургер Кинг?

Сейчас им пользуются около 3 млн человек, цифра удваивается каждый месяц. Средняя оценка опыта использования приложения среди тех, кто делал заказ – 4.8 из 5. Это приложение сейчас занимает первое место в GooglePlayMarketв категории "Еда и Напитки". То есть сервис очень востребованный и нравится нашим гостям.

Pikabu.ru
Пресс-служба Бургер Кинг Россия