Адрес для входа в РФ: exler.bar
Комментарий разработчика приложения "Бургер Кинг"
13.07.2018 11:09
13231
Комментарии (64)
На "Хабре" опубликовали ответ разработчиков приложения "Бургер Кинг" - "Басня о Burger King и данных пользователей".
Кратко. Видео для аналитики собирают. Примерно у 10% пользователей. Видео снимается в очень низком качестве (для уменьшения трафика), передается только через WiFi и любые пользовательские данные там скрываются (замазываются) до отправки видео.
Войдите, чтобы оставить комментарий.
Я бы ещё текст ниже вынес в кратко. Шикарная реакция, молодцы. Вроде и поблагодарили, и на место поставили.
Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов. Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK.
Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion. Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе.
Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов. Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK.
Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion. Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе.
А причём здесь видео и что собственно говоря это такое?
О передаче трафика вроде тоже оговорено, хотя это уже смешно
Короче, и с юридической стороны, и из практики работы как минимум мобильных приложений — ситуация абсолютно нормальная
как минимум мобильных приложений — ситуация абсолютно нормальная, постоянно встречающаяся, законная и вполне безопасная
А причём здесь видео и что собственно говоря это такое? Пишется захват экрана в их приложении, какие персональные данные туда попадают — указано. Законно полученный захват можно представить в видеоформате, как изображение, в аудио, в двоичном коде — как угодно. О передаче трафика вроде тоже оговорено, хотя это уже смешно: интернет-приложение передаёт трафик, как оно посмело?!
Короче, и с юридической стороны, и из практики работы как минимум мобильных приложений — ситуация абсолютно нормальная, постоянно встречающаяся, законная и вполне безопасная. Но паранойте дальше, пожалуйста 😄
Короче, и с юридической стороны, и из практики работы как минимум мобильных приложений — ситуация абсолютно нормальная, постоянно встречающаяся, законная и вполне безопасная. Но паранойте дальше, пожалуйста 😄
Пункт 8.1, изменён не был, интернет всё помнит. Трындите дальше.
Пункт 8.1, изменён не был, интернет всё помнит. Трындите дальше.
Ага, ага, куча невнятного текста или ссылка на на невнятные legalese. В южном парке уже было такое, про чтение и согласие, данное стиву джобсу.
Вы сами даёте согласие на её использование.
Ни одного факта злонамеренного использования разрешённой вами опции со стороны БК нет.
и устроил хайп не разобравшись.
Кто кого потыкал? Со стороны Бургер Кинга никакого косяка нет. Этой же функцией пользуется куча приложений. Вы сами даёте согласие на её использование. Ни одного факта злонамеренного использования разрешённой вами опции со стороны БК нет. Парень что-то увидел и устроил хайп не разобравшись. Его вполне корректно потыкали мордочкой в лужу 😄
Хамоватые парниши. После того как мордочкой в свою лужу потыкали как-то бы поскромнее себя вести.
Мда. Наглядное применение эффекта Даннинга-Крюгера 😄
Я так понял что запись ведется только скринов этого самого приложения, а не всего что происходит на экране. В таком случае не вижу проблемы, чувствительные данные они замазывают. Выглядит как дебажная фича, которую кривовато настроилидля продакшена.
Она работает как настроишь - в продакшене обычно стараются минимум инфы собирать, чтоб не замедлять приложение и не засорять траффик. Штуки типа включение записи видео - это скорее для тестировщиков
Почему криво-то? Эта штука именно так и работает.
Согласен, я же говорю, криво для продакшена настроили сбор статистики.
В таком случае не вижу проблемы, чувствительные данные они замазывают.
Странно обвинять разработчиков в наличии возможности утечки персональных данных. Вспоминается анекдот: "Ну тогда судите и за изнасилование, аппарат же есть". Почему тогда только Бургер Кинг? Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты.
Убийцу тоже нельзя наказать до убийства.
Я вот никак не могу понять, причём тут вообще видео?
Я вот никак не могу понять, причём тут вообще видео?
Ну что поделаешь, жизнь не совершенна. Убийцу тоже нельзя наказать до убийства.
Я об этом и говорю, возможность слить данные карты есть у многих. Но пока они этого не делают их обвинять не в чем.
:)
Я об этом и говорю, возможность слить данные карты есть у многих. Но пока они этого не делают их обвинять не в чем. А ваш сценарий применим и к другим сервисам имеющим дело с онлайн платежами. Совершенно же не важны как утекут данные карты, в виде видео или в виде обычных цифр.
Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты
Абсолютно все приложения, сайты, платежные терминалы, продавцы имеют возможность "украсть" данные вашей платежной карты.
Кратко. Мы порядочные. Обещаем! (с)
В реале, конечно, в этой статье только обещания честности, никаких механизмов контроля нет. "Все приложения надо отлаживать" - ага, и все собирают скриншоты. "Замазывают поля данных" - ага, а значит мой любимый порносайт не замазывает, ясно. Не удивительно, что на этом попались в России - с нашими-то судами всё похер. Попробовали бы собирать такую метрику в США. Любой чел за один судебный иск разорил бы этот Бургер Кинг в неделю.
В реале, конечно, в этой статье только обещания честности, никаких механизмов контроля нет. "Все приложения надо отлаживать" - ага, и все собирают скриншоты. "Замазывают поля данных" - ага, а значит мой любимый порносайт не замазывает, ясно. Не удивительно, что на этом попались в России - с нашими-то судами всё похер. Попробовали бы собирать такую метрику в США. Любой чел за один судебный иск разорил бы этот Бургер Кинг в неделю.
Этот функционал одобрен GDPR
Функциональность библиотеки не может быть "одобрена гдпр". Деятельность компании может нарушать гдрп, а может не нарушать. Деятельность бк в данном случае нарушает. Не только гбпр, но, даже российский фз.
Чёрт, надо как-то уходить из темы
Этот функционал одобрен GDPR. В США законодательство значительно мягче, мы тоже GDPR проклинаем.
Чёрт, надо как-то уходить из темы, бесполезно же пытаться объяснить.
Чёрт, надо как-то уходить из темы, бесполезно же пытаться объяснить.
Меня интересует другой вопрос.
Почему новое приложение Burger King работает только с Андроид версии 5 и выше???
У меня на смартфоне Alcatel версия Андроида 4.4, у жены на смартфоне Alcatel - версия 4.3, у неё же на планшете Samsung Galaxy - версия 4.2 Итого ни на одном из ТРЁХ устройств данное приложение установить нельзя!
Какие такие продвинутые возможности Андроида там используются, что ниже Андроида 5 - никак?!..
Почему новое приложение Burger King работает только с Андроид версии 5 и выше???
У меня на смартфоне Alcatel версия Андроида 4.4, у жены на смартфоне Alcatel - версия 4.3, у неё же на планшете Samsung Galaxy - версия 4.2 Итого ни на одном из ТРЁХ устройств данное приложение установить нельзя!
Какие такие продвинутые возможности Андроида там используются, что ниже Андроида 5 - никак?!..
Не, ну WinXP-то когда вышла!.. А моему телефону - всего 2 (!) года (он моложе Windows 10!). Планшету жены - 4 года, это как Windows 7 (и тоже моложе).
Если BG хочет всех пересадить на приложение, чтобы экономить на кассирах, то почему им подходят пользователи лишь с САМЫМИ современными смартфонами??? Так они слона не продадут, как говорится. 😄
BG - единственная (!) программка, которую я хотел, но не смог установить себе на смартфон.
Если BG хочет всех пересадить на приложение, чтобы экономить на кассирах, то почему им подходят пользователи лишь с САМЫМИ современными смартфонами??? Так они слона не продадут, как говорится. 😄
BG - единственная (!) программка, которую я хотел, но не смог установить себе на смартфон.
Для разработчиков поддержка старых версий андроид скорее всего будет означать параллельную разработку двух отдельных версий приложения для старых и новых версий андроида. Вероятно, владельцы БГ посчитали это экономически нецелесообразным.
Дело не только в продвинутых возможностях, развивается и сама среда разработки, фреймворки, библиотеки и т.п., нет никакого смысла отказываться от новых фишек, повышающих удобство разработки и сопровождения приложения, стабильность и т.п. Это как если бы разрабы приложения под Вин10 беспокоились бы о его совместимости с ВинХР. Теоретически, так можно сделать, но нафига? Хотя пользователей ВинХР осталось не так уж и мало.
Дело не только в продвинутых возможностях, развивается и сама среда разработки, фреймворки, библиотеки и т.п., нет никакого смысла отказываться от новых фишек, повышающих удобство разработки и сопровождения приложения, стабильность и т.п. Это как если бы разрабы приложения под Вин10 беспокоились бы о его совместимости с ВинХР. Теоретически, так можно сделать, но нафига? Хотя пользователей ВинХР осталось не так уж и мало.
вот вторая часть расследования:
pikabu.ru
pikabu.ru
"Да но у нас есть логи кто нажал на это незамазанный рандомный ресторан
В какое время и другая информация для точной идентификации устройства и пользователя, так же мы конечно сразу проверили ваши аккаунты"(с) Директор департамента диджитал-проектов
«Бургер Кинг Россия» Сергей Очеретин
http://4pda.ru/forum/index.php?showtopic=882570&st=80#entry75048831
Все, что вам нужно знать про АНОНИМНЫЙ сбор информации приложением БК. 😄
В какое время и другая информация для точной идентификации устройства и пользователя, так же мы конечно сразу проверили ваши аккаунты"(с) Директор департамента диджитал-проектов
«Бургер Кинг Россия» Сергей Очеретин
http://4pda.ru/forum/index.php?showtopic=882570&st=80#entry75048831
Все, что вам нужно знать про АНОНИМНЫЙ сбор информации приложением БК. 😄
Чтобы не было в будущем восстания роботов, с точки зрения БК достаточно всего лишь прописать в их коде:
УбитьВсехЧеловеков=false
УбитьВсехЧеловеков=false
Слишком тонко, вероятно. Никто не понял.
Краткое содержание комментария: "Мы обгадились, но это был запланированый акт, все под контролем, и вообще это на самом деле трюфели, а не фекалии, а вы все дураки и не лечитесь".
Комментарии юристов:
habr.com/company/roskomsvoboda/blog/417145/
Автор первой статьи написал вторую часть с разбором лживого комментария разработчиков приложения.
https://habr.com/post/417161/
Занятная ремарка из апдейта первой статьи:
В каментах к статьям народ тоже немало всего интереснго понаписал. Например, как вам расход за месяц мобильного трафика приложением "Бургер Кинг" в размере 0.95Гб?
Комментарии юристов:
habr.com/company/roskomsvoboda/blog/417145/
Автор первой статьи написал вторую часть с разбором лживого комментария разработчиков приложения.
https://habr.com/post/417161/
Занятная ремарка из апдейта первой статьи:
Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).
Ответ в стиле, да мы подсматриваем за вами, без предупреждения, но делаем это ради вас! И трафик накручиваем тоже ради вас!
Да и почти не смотрим, смотрите мы же в JSON конфиге, указали что true! Это же почти код. Что вы говорите, вы говорите это не код?
И вобще сходите подучитесь!
Да и почти не смотрим, смотрите мы же в JSON конфиге, указали что true! Это же почти код. Что вы говорите, вы говорите это не код?
И вобще сходите подучитесь!
У моих родителей например есть. Стоит Wi-Fi роутер, который раздает сеть по дому, а внешний интернет 4G. И трафик там ой какой небесплатный, нопремер
Прямо сейчас сижу на слабом вайфае (мопед не мой) у которого очень плохая скорость (особенно на отправку данных) и заливка видео на сторону вполне себе скажется. В домашних условиях проблемы конечно не было бы, но вайфай вайфаю рознь. Не стоит считать что по всему миру он бесплатный и безлимитный.
А товарищи похоже считают что если вайфай, значит все, победа - можно отправлять видео на выход.
А товарищи похоже считают что если вайфай, значит все, победа - можно отправлять видео на выход.
И трафик накручиваем тоже ради вас!
А меня недавно такая тема вырубила. У Яндекса есть раздел Яндекс.Недвижимость, где есть подробные описания всех новостроек. И там Яндекс подменяет номера телефонов застройщика на свои мобильные номера телефонов, при этом настроена переадресация на номер телефона соответствующего застройщика. При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговоры с отделом продаж. Чем я думаю они плотно заняты.
На своём номере можно сделать облачную АТС, передаресация - только одна из функций. И главный вопрос - как вы думаете, зачем это делает Яндекс? Явно не просто так, а с какими-то своими целями.
можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминацииТогда у целевого абонетна все входящие звонки будут с номеров из пула прослушки и он "что-то заподозрит" 😄
Да и о подмене номеров, когда с ней пытались бороться ( простой пример Скайп, который не получал телефонной емкости в РФ и не имеет лицензии на МН/МГ связь), то на этом же ресурсе были громкие крики " как все не правы, как зажимают IP телефонию"
Ну и кроме того "заподозрит" тут не совсем верное понятие, почти уверен что эти звонки еще и оплачиваются принимающей стороной поминутно или по факту звонка.
можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминации
При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговорыКакая технология позволяет при переадресации записывать разговоры?
- можно дать команду вышестоящему коммутатору "переадресовывать все" , тогда владелец номера узнает параметры звонка только по детализации оператора.
- можно выдавать команду переадесации при входящем звонке ( тогда станция видит каждый звонок, но не знает о времени и подобном) , соотв у нас для анализа поля Calling number, Called number, Redirect number со временем.
- можно просто считать Б номер своим внутренним, и пропускать разговор через себя, как точку терминации - видим все, включая длительность звонков и при желании их запись (никого же не смущает что офисные АТС пишут при желании весь входящий трафик, даже если перевели на мобильный сотрудника)
При этом у фирмы Яндекс, поскольку она контролирует свои номера и переадресацию, появляется возможность собирать чужие номера абонентов и записывать их разговоры
Мнээээ... серьёзно? Переадресация - не то же самое, что запись разговора.
Яндекс Метрика предлагает инструмент вебвизор, который записывает полное взаимодействие пользователей с сайтом — кто и что кликал, сколько времени смотрел, какие формы заполнял.
Маркетинг/тех.поддержка активно использует технологии session mirroring это когда у стороннего человека, в режиме реального времени, дублируются все твои манипуляции с сайтом.
И что теперь?
Маркетинг/тех.поддержка активно использует технологии session mirroring это когда у стороннего человека, в режиме реального времени, дублируются все твои манипуляции с сайтом.
И что теперь?
Отключить перехват введеных данных в формах на веб-сайте возможно только полным, 100%, запретом JavaScript'а, что превратит большинство современных сайтов в тыкву.
Открыл код стартовой страницы PayPal и вижу комментарий в коде:
// Pass Google Analytics Client ID to FPTI
// Pass Google Analytics Client ID to FPTI
Я лишь указал, что такова современная реальность. Хайп поднялся лишь из-за сочетания в одной новости фраз — смартфон, видео, без разрешения.
К слову, лично я делал небольшое, но donation в EFF.
К слову, лично я делал небольшое, но donation в EFF.
На самом деле, в чем разница-то?1. известные плагины отключают эту хрень.
2. в вебе данные банковских карт вы, обычно, не вводите на сайте со шпионскими троянами, а перекидываетесь на шлюз платёжной системы, где, перекрестясь, надеятесь .., шпионов нет...
// Pass Google Analytics Client ID to FPTI
На самом деле, в чем разница-то?
2. в вебе данные банковских карт вы, обычно, не вводите на сайте со шпионскими троянами, а перекидываетесь на шлюз платёжной системы, где, перекрестясь, надеятесь (да и плагины не показывают предупреждений), шпионов нет. Конечно, это вопрос доверия, а на доверие вот именно такие вещи и влияют. Если какой-либо платёжный шлюз будет замечен в сливе данных третьим лицам, его зароют с ещё бОльшей скоростью.
Ну если вы хотели сказать что то другое. Так скажите.
Можно или нельзя? )
Если нельзя, тогда к чему был ваш вопрос в стиле "А чо такого?" 😄
Можно или нельзя? )
Если нельзя, тогда к чему был ваш вопрос в стиле "А чо такого?" 😄
Все линчуют негров и нам можно!
Но выглядит как видео и крякает как видео. На самом деле, в чем разница-то?
И что теперь?
Все линчуют негров и нам можно!
Мне понравился верхний комментарий:
nerudo 13.07.18:
Молодцы, отлично успокоили общественность: Мы и правда записываем видео, но не парьтесь, все в порядке.
nerudo 13.07.18:
Молодцы, отлично успокоили общественность: Мы и правда записываем видео, но не парьтесь, все в порядке.
Ну да, очень информативная хабростатья. Демонстрирует как разработчики софта БК (они же мобильные разработчики для Альфа-Банка и Сбербанка) подходят к сбору, использованию и сокрытию личных/персональных данных.
Видео снимается в очень низком качестве (для уменьшения трафика),
передается только через WiFi
любые пользовательские данные там скрываются (замазываются) до отправки видео.
В сочетании с тем, что пользователя ни словом не предупреждают ни о записи видео ни о возможной внезапной посылке десятков мегабайт безобидным приложением, разработчики этого поделия - реальные уроды и их попытки оправаться - "все негров вешают и мы вешаем" выглядят убого.
Имеет. И может в любой момент их изменить
к настройкам которого он вряд ли имеет доступ
Или замазано только на скриншоте разработчика.
Собственно единственный реальный факт "приложение пишет видео рабочего стола без ведома пользователя и куда то его отправляет", все остальное либо со слов разработчика, либо элементарно настраивается. Тем более, насколько я понимаю, разработчик говорит даже не о их собственном приложении, а о третьем сервисе, к настройкам которого он вряд ли имеет доступ.
Собственно единственный реальный факт "приложение пишет видео рабочего стола без ведома пользователя и куда то его отправляет", все остальное либо со слов разработчика, либо элементарно настраивается. Тем более, насколько я понимаю, разработчик говорит даже не о их собственном приложении, а о третьем сервисе, к настройкам которого он вряд ли имеет доступ.
вполне возможно, что замазывание обратимо
