Роскомнадзор проверит Burger King в связи с возможным сбором данных
Если Вы подозреваете, что стали жертвой утечки или кражи Ваших персональных данных, в том числе через Ваш смартфон, планшет, ПК или путём несанкционированного доступа к Вашим учётным записям электронной почты, социальных сетей, облачных хранилищ данных (Google Drive, Yandex Disk, Dropbox & etc.) или даже сотовой связи, пожалуйста прочтите следующий пост Юридической Консультации Григория Красовского - https://www.facebook.com/krasovsky112/posts/664554593880959
***
Григорий Красовский - Вчера я дал интервью радио "Коммерсантъ FM" по правовым аспектам возможного несанкционированного и/или противоправного сбора данных пользователей мобильным приложением Burger King посредством записи видео с экранов смартфонов потребителей.
Если подозреваете, что стали жертвой утечки или кражи Ваших персональных данных, в том числе через Ваш смартфон, планшет, ПК или путём несанкционированного доступа к Вашим учётным записям электронной почты, социальных сетей или даже сотовой связи, пожалуйста обращайтесь к компетентным и опытным адвокатам для защиты Ваших закооных прав и интересов, в том числе по требованиям о возмещении убытков причиненных Вам третьими лицами.
***
Защита прав потребителей - http://krasovsky.com/zashita-prav-potrebiteley-domashnyaya.html
Защита персональных данных - http://krasovsky.com/zashita-personalnych-dannych.html
Киберпространство и компьютерной Закон - http://krasovsky.com/individuals/kompyuternoe-kiberpravo.html
Юридическая консультация Григория Красовского
123317 Москва, Российская Федерация
Пресненская Набережная, д. 6, корп. 2
Тел: +7-916-848-5500 (Telegram, Viber, WhatsApp, Signal, etc.)
Email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Skype: krasovsky
Российский сайт: www.krasovsky.com
***
Роскомнадзор проверит Burger King в связи с возможным сбором данных
Роскомнадзор включил проверку сети ресторанов быстрого питания Burger King в план на 2019 год. Об этом сообщается на официальной странице ведомства во «ВКонтакте».
Как отмечается в сообщении, Роскомнадзор «не имеет возможности быстро инициировать внеплановые проверки». Однако в 2019 году деятельность Burger King будет проверена на соответствие закону «О персональных данных».
В сообщении уточняется, что две жалобы пользователей, которые находятся вне полномочий Роскомнадзора, были перенаправлены «в службу, ответственную за безопасность граждан России».
В середине июля пользователь портала Pikabu написал, что мобильное приложение Burger King может собирать данные пользователей посредством записи видео с экранов смартфонов. Он также обратил внимание, что записанное видео отправляется на сервер. При этом на запись может попасть ввод данных банковской карты при оплате заказа.
Подробнее на РБК: https://www.rbc.ru/rbcfreenews/5b62e7f19a7947477c58d59a
***
Роскомнадзор
August 2, 2018 at 10:10 AM
Друзья! Есть новости по поводу возможной утечки данных через приложение BURGER KING® Russia .
Раз: мы включили Burger King в план проверок на будущий год.
Два: жалобы пользователей, находящиеся вне полномочий РКН, мы оформили и отправили коллегам в службу, ответственную за безопасность граждан России.
➡ Небольшой комментарий. Мы не имеем возможности быстро инициировать внеплановые проверки. Даже по таким резонансным поводам. Но мы обязательно проверим деятельность Burger King по всей строгости закона «О персональных данных» в 2019 году.
https://vk.com/wall-76229642_193121
***
ФСБ проверит Бургер Кинг из-за утечки пользовательских данных
Роскомнадзор решил переключиться с Telegram на сеть фасфудов «Бургер Кинг».
После того, как в адрес ведомства поступила жалоба от двух российских пользователей мобильного приложения, регулятор отправил запрос в ФСБ на проверку.
По данным пользователей, чьи имена не раскрываются, приложение Бургер Кинг может быть причастно к утечке данных.
В связи с отсутствием полномочий, РКН не может отвечать на жалобы, а посему письмо переадресовали в службу безопасности.
В планах Роскомнадзора плановая проверка сети фастфудов в 2019 году.
Мы не имеем возможности быстро инициировать внеплановые проверки.
Даже по таким резонансным поводам.
Но мы обязательно проверим деятельность «Бургер Кинга» по всей строгости закона «О персональных данных» в 2019 году.
Ранее один из разработчиков обнаружил, что приложение Бургер Кинг записывает видео с экраном смартфона, не предупреждая об этом пользователей.
Позднее представители сети и сами подтвердили, что пользуются аналитической платформой Appsee для отслеживания действий заказчиков.
Далее: https://news.rambler.ru/internet/40472545/
***
Приложение Burger King заподозрили в сборе данных банковских карт.
На Pikabu написали, что приложение Burger King тайно записывает экран телефона. Пост обрушил рейтинг приложения на Google Play
Участник сообщества Pikabu под ником fennikami написал пост о том, как приложение сети ресторанов быстрого питания Burger King в России записывает экран телефона пользователя. Он утверждает, что перехватил запросы, которые приложение передавало на сервер и получало обратно.
По словам fennikami, приложение получает от сервера команду начать запись экрана, после чего передает видеопоток. При этом параметр максимальной длины видео равен нулю, то есть после запуска приложения запись ведется постоянно — в том числе при вводе данных банковской карты для оплаты заказа. Также приложение записывает прикосновения к экрану и может сопоставлять их с видео.
Запись экрана ведет AppSee — встроенная в приложение Burger King метрика для анализа поведения пользователей. «Мало того, что записывать экран ни разу не круто, так еще к этим видео имеют доступ не только разработчики приложения Burger King, а и всякая шушера вроде партнеров AppSee (то есть совершенно левые люди), да и сам AppSee тоже», — написал fennikami.
Оно записывает видео с экрана телефона.
...
AppSee утверждает, что плагин записывает экран телефона, но не собирает данные банковских карт. Burger King говорит то же самое
Разработчики AppSee не скрывают, что плагин собирает данные о поведении пользователей в приложениях именно с помощью записи видео с экрана телефона. Но, по их словам, он автоматически скрывает некоторые поля в приложении (например, поле ввода пароля) и не получает доступ к личным данным пользователя.
Кроме того, создатели приложений, в которые встраивается AppSee, могут сами указывать, какие зоны должны оставаться «слепыми» для плагина. В положении о конфиденциальности AppSee отдельно сказано, что клиенты-разработчики не должны предоставлять финансовую информацию пользователей приложений.
Администратор группы Burger King во «ВКонтакте», где начали появляться вопросы о записи экрана, объяснил, что компания не получает данные банковских карт пользователей приложения, поскольку AppSee скрывает их за черными полями; в качестве доказательства он опубликован изображение, которое назвал скриншотом из AppSee.
***
Роскомнадзор попросил ФСБ проверить возможную утечку данных через приложение Burger King
Роскомнадзор получил жалобы пользователей на возможную утечку данных в приложении Burger King и попросил ФСБ проверить эту информацию. Об этом ведомство рассказало на своей странице в социальной сети «ВКонтакте».
«Жалобы пользователей, находящиеся вне полномочий Роскомнадзора, мы оформили и отправили коллегам в службу, ответственную за безопасность граждан России», — уточнили в ведомстве. Также Роскомнадзор отметил, что в 2019 году проверит деятельность сети ресторанов по закону «О персональных данных».
***
Burger King и тайная запись экрана вашего телефона
Информационная безопасность
@fennikami - https://habr.com/users/fennikami/
Я предоставил видео-доказательство того, что поля ввода данных (в том числе — банковских карт) не скрываются + видео отправляется каждый раз при запуске (в чем вы сами можете убедиться, отследив трафик приложения).
Таким образом я имею опровержение официального ответа Burger King о том, что «личная информация скрыта» и того, что якобы используется выборка на 10% пользователей.
Стоит отметить, что ни в одном из официальных видео Burger King (где они якобы демонстрируют скрытие личных данных) не показано меню привязки банковской карты.
В этом видео оно показано.
Также хочу отметить, что после публикации оргинального расследования — на мой блог начались хакерские атаки (брутфорс админки, поиск эксплоитов, попытка DDoS).
Я готовлю второй пост на эту тему.
Stay tuned, больше информации — в моем блоге - https://fennikami.cf/
***
Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение
Информационная безопасность
UPD: Пользователь Sabubu рассказал о том, что IT-директор компании Burger King начал публично угрожать автору расследования.
Вступление
Первое расследование о приложении Burger King создало резонанс в СМИ, а также оказалось в топе Пикабу, TJournal, и Хабрахабр.
Как выяснилось — людям небезразличен шпионаж за ними.
Расследование понравилось и хакерам. С момента публикации, на мой блог совершили десятки хакерских атак.
***
Приложение Burger King тайно записывает экран телефона!
Привет Пикабу
Меня зовут Сергей, я Продакт этого самого приложения в Бургер Кинг. Огромное удовольствие читать вас и хабр, но сегодня ввиду последних событий и активного хейта нашего приложения хочу все же вмешаться.Не кидайте страйки, т.к. напишу все как есть, и справедливость должна восторжествовать
Приложение Бургер Кинг действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ ( и чертовски ска дорогой к тому же) - AppSee, которое позволяет выявлять баги, проблемы воронки продаж и другие "узкие" места.
реальное видео опубликовано на форуме
http://4pda.ru/forum/index.php?showtopic=882570&st=60
Все данные агрегируются и приходят к нам в обезличенном формате. На основне общих данных мы принимаем решения, что нужно доделать или исправить. Все персональные данные и другие реквизиты банковских карт мы не видим, т.к.
1) Сам сервис не записывает эти данные
2) Наш эквайринг (Яндекс.Кассы) не передает их нам
Так что не только я, но и CEO AppSee не сможет увидеть этих данных, тк они не только программно зашифрованы, но ещё и скрыты от глаз вот такими черными полосками.
https://pikabu.ru/story/prilozhenie_burger_king_tayno_zapisyivaet_yekran_telefona_6022022
***
Приложение Бургер Кинг тайно записывает экран телефона.
Привет! Мне 18 и я бородат в свободное время ковыряю разные приложения.
Сегодня дошли руки до распиаренного приложения Бургер Кинга (того самого, где «бургер — бесплатно» и промокоды для друзей).
Значит открываю приложение на своем айфончике, смотрю за трафиком. И обнаруживаю это:
http://www.yaplakal.com/forum2/topic1813090.html
***
Робот приходит в незакрытые двери
Как развивается скандал вокруг утечек личной информации россиян
17.07.2018
Скандал с утечкой личных данных в поисковые системы набирает обороты — пользователи находят в «Яндексе» все новые документы с персональной информацией россиян. Ранее «Ъ FM» сообщил, что в открытом доступе оказались, к примеру, копии паспортов, билеты на самолеты и поезда, а также данные о платежах. В соцсетях были размещены, в частности, материалы с сайтов Сбербанка, ВТБ, департамента транспорта Москвы и сайта Trip.com. По просьбе «Ъ FM» в этих банках прокомментировали информацию.
Так, в Сбербанке сообщили, что провели проверку и выяснили, что ни в одной из размещенных ссылок не содержались персональные данные. В ВТБ после расследования рассказали, что инцидент произошел по вине третьей стороны, при этом информация, которая относится к банковской тайне, не была передана третьим лицам. Между тем, через «Яндекс» можно было найти билеты на поезд, купленные на сайте travel.vtb.ru, с именами и датами рождения пассажиров.
...
Ответственность за хранение персональных данных лежит на компании, которая их собирает, подчеркнул адвокат Григорий Красовский. По его словам, исключением могут стать лишь утечка, произошедшая по вине хакеров.
«Если в билетах указаны паспортные данные — номер паспорта, фамилия, отчество, дата рождения пассажира, то, конечно, это персональные данные. Федеральный закон о персональных данных возлагает на организацию определенные обязательства и требования по их обработке и хранению. Если организация получает персональные данные, то она обязана принять определенные меры для их защиты. Но при этом мы, с учетом того, что происходит не только в России, но и по всему миру, понимаем, что практически невозможно на 100% защитить персональные данные от систематических попыток взлома опытных хакеров. И если несмотря на то, что компании выполняли все требования, данные были незаконным способом получены, потом распространены третьими лицами, то я не вижу оснований для наказания этих организаций», — отметил Григорий Красовский.
***
If you suspect you have become the victim of a leak or theft of your personal data, including through your smartphone, tablet, PC or unauthorized access to your email accounts, social networks, cloud storage (Google Drive, Yandex Disk, Dropbox & etc.) or even cellular, please read this post by The Law Offices of Gregory Krasovsky - https://www.facebook.com/krasovsky911/posts/2193240110913848
***
Yesterday I gave an interview to Radio Kommersant FM on the legal aspects of the possible unauthorized and / or unlawful data collection by the mobile application Burger King by recording videos from screens of consumer smartphones.
If you suspect that you have become the victim of a leak or theft of your personal data, including through your smartphone, tablet, PC or by unauthorized access to your email accounts, social networks or even cellular communications, please contact competent and experienced lawyers for protection. Your law rights and interests, including the claims for the indemnification of losses caused to you by third parties.
***
Consumer Protection - http://krasovskylaw.com/individuals/consumer-protection.html
Privacy - http://krasovskylaw.com/individuals/privacy.html
Cyberspace and Computer Law - http://krasovskylaw.com/computes-cyber-1.html
Information Technology - http://krasovskylaw.com/info-tech.html
The Law Offices of Gregory Krasovsky
1629 K Street NW, Suite 300
Washington, DC 20006
Tel: +1-202-558-5287
Fax: +1-202-558-5346
Email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Skype: Krasovsky
American website: www.krasovskylaw.com
***
Amid privacy concerns, Russia’s federal censor says it will review Burger King’s mobile app sometime next year
Meduza
18:58, 2 august 2018
Russia’s federal censor, Roskomnadzor, says it will review Burger King’s mobile app sometime next year, following complaints that the fast food company is “spying” on customers by recording the screens of their mobile devices through the Appsee analytics platform. In a statement published on August 2, Roskomnadzor explained that it lacks the resources to respond more quickly, but the agency says it has appealed to other law enforcement groups to investigate the matter sooner.
On July 11, a Russian developer accused Burger King of secretly recording users’ screens, supposedly including bank data and other personal information (even when not using the Burger King app). The company has denied these allegations, and Appsee’s privacy policy prohibits app publishers from sharing any personal or sensitive data with the platform.
***
Burger King app spies on you all the time making videos from your smartphone
2 Jul 2018 at 13:43
The Burger King application can secretly record data from the smartphone on which the app is installed.
An amateur 18-year-old IT specialist, known for his moniker as fennikami, studied the program code of the application. Having analysed the traffic of the mobile application for iOS devices, the young man found that the mobile client continuously captures both images, all input data and even the movement of fingers on the screen to make it possible to compare all this data. The specialist concluded that the application secretly records video from the screen of the smartphone, including at the time when a person inputs their bank details to pay for their order.
The video recording starts from the moment the user opens the application for the first time and runs continuously before all the recordings are sent to the server. The video recording does not stop even when a person uses other apps, but the Burger King app remains open.
See more at http://www.pravdareport.com/news/science/tech/12-07-2018/141205-burger_king-0/
***
Yes, your smartphone may be spying on you – but not how you suspect
July 5, 2018
Ice-cream delivery app records everything
The most troubling was the GoPuff app, which allows users in several cities to order snacks, drinks and ice cream for delivery. It was actively making recordings of everything the user did on the app and sending it to AppSee, an app analytics platform.
Known as "full-session replay technology," it allows whoever is getting the file to see everything you did on the app, whether it was playing a game, typing in your address, your shoe size or your credit-card number.
Google – maker of the Android operating system – said after reviewing the Northeastern researchers' findings it had determined that a part of Appsee's services may put some developers at risk of violating its policies. It says it's working with Appsee to ensure developers appropriately communicate what it does with apps' end-users.
One possible use of the Appsee program is to allow a company to collect a random number of screen videos.
"If you’re just checking for problems, let’s say your app is crashing and you’re trying to figure out why it’s crashing, you might be able to use Appsee to see what the user was doing when the app crashed. You would essentially look over the user’s shoulder when the problem is occurring,” he said.
Appsee said its terms of service forbid customers from tracking personal data with Appsee.
“It appears that Appsee's technology was misused by the customer and that our Terms of Service were violated. Once this issue was brought to our attention we immediately disabled tracking capabilities for the mentioned app and purged all the relevant data from our servers,” said Appsee CEO Zahi Boussiba.
GoPuff did not respond to a request for comment from USA TODAY.
Any app that includes such code needs to notify users and get their consent, Choffnes said.
"We all act differently if we know we're being watched," he said.
The researchers titled their paper Panoptispy: Characterizing Audio and Video Exfiltration from Android Applications - https://recon.meddle.mobi/papers/panoptispy18pets.pdf
***
All the Ways Your Smartphone and Its Apps Can Track You
The little pocket supercomputers we all constantly carry around with us aren’t just supplying us with useful information, they’re also collecting a host of data on us and our habits, all of the time. Here’s a guide to what gets collected by your smartphone and the apps running on it, and how you can take back some control.
Sensors, Android, and iOS
Your smartphone is packed with sensors, monitoring where you are in the world, how fast you’re moving through space, which way up you’re holding your phone, and more. All of this data is used by apps to improve the user experience—so making sure your phone apps switch between landscape and portrait modes, and keeping you on the right route for your commute—but how much of this data is logged and stored is largely up to the choices of the handset manufacturer.
In recent months OnePlus has been at the center of a privacy kerfuffle over the way it was logging personally identifiable information (like device IDs) and transmitting that data back to OnePlus’s home base, ostensibly to improve the device’s user experience. OnePlus has since dialed back some of that data collection, and promises to only use the data it gathers internally, but it shows just how much data your smartphone can reveal, and how tricky it can be to know what’s being collected and what isn’t.
https://fieldguide.gizmodo.com/all-the-ways-your-smartphone-and-its-apps-can-track-you-1821213704
***