Спецпроекты

ПО Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Техника

Россиянин обвинил Burger King в тайном сборе данных о банковских картах

Приложение Burger King уличили в «шпионаже» за пользователями. Оно якобы записывает видео с экрана смартфона и отправляет третьим лицам. Узнать об этом удалось благодаря анализу трафика, произведенному юным энтузиастом.

«Приложение-шпион»

Официальное мобильное приложение Burger King, глобальной сети ресторанов быстрого питания, может вести слежку за пользователем, отправляя видеозапись происходящего на экране устройства на удаленный сервер. Этот процесс не приостанавливается даже в момент ввода данных банковской карты при осуществлении оплаты заказа. На данную особенность приложения обратил внимание один из пользователей «Пикабу», русскоязычного информационно-развлекательного сообщества, под псевдонимом fennikami.

Исследователь проанализировал трафик мобильного приложения Burger King для операционной системы Apple iOS и обнаружил, что в качестве ответа на запрос, содержащий данные о модели телефона и прочих его параметрах, удаленный сервер также возвращает инструкции о том, как вести запись с экрана данного устройства.

Среди возвращаемых параметров он заметил MaxVideoLength, отвечающий за максимальную продолжительность видео. Если этот параметр принимает значение «0», видео записывается в течение всего сеанса использования приложения без ограничения по продолжительности.

Запросы, отправляемые мобильным приложением Burger King, на некий удаленный сервер

Дальнейший анализ запросов показал, что записанное видео и информация о прикосновении к экрану в реальном времени отправляются на удаленный сервер по адресу *.appsee.com/upload вне зависимости от используемого канала связи.

Так выглядит видео, записанное мобильным приложением Burger King

На момент публикации этого материала пресс-служба «Бургер кинг» в России не ответила на вопросы редакции CNews по затронутой теме.

О «загадочном» Appsee

Appsee – популярная аналитическая платформа, которая позволяет измерять, оценивать и оптимизировать работу мобильных приложений. Этот аналитический инструмент предоставляет функциональность отслеживания персонального поведения каждого пользователя при использовании конкретного приложения.

Платформа фиксирует ключевые метрики выбранных разработчиком групп пользователей для последующей визуализации в отчетах и тепловых картах.

Appsee имеет неплохую репутацию в отрасли. По информации, опубликованной на официальном сайте сервиса, услугами платформы пользуются аналитики таких компаний, как Samsung, ebay, Virgin, Upwork и British Gas и полностью соответствует GDPR, общему регламенту по защите данных, недавно принятому в Европейском Союзе. Благодаря этому пользователь может выяснить, какие именно из его персональных данных хранятся на серверах Appsee, и, при необходимости, потребовать их удалить.

Так выглядит расшифровка действий пользователя, записанных при помощи платформы Appsee

Приложения, в которые интегрирована клиентская часть сервиса, без особых трудностей проходят обязательную модерацию перед тем, как попасть в App Store.

Параметры сбора данных задаются владельцем или разработчиком приложения, требующего анализа действий пользователя. Как правило, запись видео ведется с низкими битрейтом и частотой кадров (влияет на качество картинки и размер файла/скорость потока видео), чтобы излишне на нагружать канал связи при передаче данных на сервер. Кстати, каналы связи для отправки данных также можно заранее определить так, чтобы отправка записанных данных осуществлялась только при подключении через Wi-Fi.

Поля ввода, в том числе используемые для ввода паролей и другой чувствительной информации, могут скрываться при записи из соображений безопасности. Из этих же соображений информация передается и хранится в зашифрованном виде. Персональная информация целенаправленно не собирается, поскольку аналитикам, как правило, она не нужна.

Позиция Burger King

После выхода публикации компания «Бургер кинг Россия» прислала пресс-релиз, в котором прокомментировала ситуацию.

Как пояснили в компании, информация о сборе данных банковских карт пользователей носит недостоверный характер. Приложение «Бургер кинг» действительно подключено к одной из самых известных и защищенных аналитических платформ – Appsee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. То есть это техническая надстройка, которая позволяет программистам определять, какой блок мобильного приложения следует улучшать для более удобной и бесперебойной работы. Эта система не имеет ничего общего со сбором персональных данных, более того, ни Burger King, ни специалисты Appsee не видят персональных данных (они приходят на сервер в обезличенном виде).

Сам сервис не записывает данные банковских карт и «Яндекс.Касса» не передает данные банковских карт. Так что никто, включая Appsee не может видеть подобных данных, так как они программно зашифрованы и скрыты в видео черными полосками.

Пример аналитики AppSee – данные о карте скрыты черным прямоугольником

Все данные приходят на сервер в обезличенном виде (то есть не видно имени пользователя и его личных данных). Appsee работает под европейским законом о защите персональных данных, поэтому любой сбор таких данных обернулся бы для них огромными штрафами со стороны большого количества государств.

Appsee подключен не ко всем пользователям, а к небольшой выборке. Сервис анализирует менее 10% от всех сессий (действий в приложении, выбирается случайно). Передача данных ведется только при наличии Wi-Fi-соединения и никогда не производится через мобильные сети связи.

Пользователь может исключить себя из выборки. Для этого достаточно прямо в форме обратной связи внутри приложения написать об этом.

Burger King не получает личных сведений о госте, кроме номера телефона, имени и адреса электронной почты. Более того, компания дорожит каждым гостем и не будет этими данными ни с кем делиться. Данные, которые компания получает (имя, телефон и адрес электронной почты) нужны только для того, чтобы начислять гостям бонусы за заказ (до 15% с каждой оплаты возвращаются гостю в виде бонусных баллов).

«Мобильное приложение "Бургер кинг" с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены эквайером "Яндекс.Касса". Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере. Более того, данные обезличены и закодированы, так что даже при большом желании невозможно получить персональные данные. Приложение разработано для того, чтобы гости "Бургер кинг" могли заказывать и забирать заказы у нас без очереди, и мы использовали лучшие российские и западные наработки, чтобы гарантировать безопасность данных наших любимых гостей», – сказал Сергей Очеретин, диджитал-директор «Бургер кинг Россия».

Приложением сейчас пользуются около 3 млн человек и число пользователей, по данным компании, удваивается каждый месяц. Средняя оценка опыта использования приложения среди тех, кто делал заказ – 4,8 из 5. Это приложение сейчас занимает первое место в Google Play Market в категории «еда и напитки».

В компании ожидают официального комментария от штаб-квартиры Appsee.

Дмитрий Степанов

Короткая ссылка