Burger king следит за тобой

Тема в разделе "Курилка", создана пользователем Flowner, 14.07.2018.

  1. Flowner

         $makemoney$
    Flowner

    Статус:
    Оффлайн
    Регистрация:
    23.02.18
    Сообщения:
    191
    Репутация:
    202 +/-
    Для тех, кто еще не читал новости о том, как Burger King в своем мобильном приложении интегрировал нежелательное программное обеспечение AppSee, публикую краткую информацию:
    • AppSee — это, malware-сервис, который можно интегрировать в мобильное приложение и получить видеозапись экрана для какой-то там аналитики
    • Как видно из перехваченного видео — данные передаются без какой-либо обработки, а уже в самом AppSee видео обрабатывается и данные держателей карт (ДДК) закрашиваются черными квадратами, как они утверждают
    • Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают

    Даже если поверить, что оба утверждения верные, то все равно Burger King своими действиями нарушает стандарт безопасности отправку видео файла на AppSee: нельзя передавать с номером карты (PAN) дату истечения и имя владельца. Про телефон я вообще молчу. Это прямое нарушение PCI DSS в частности и здравого смысла вообще. Обычный MITM в публичном WiFi организовать утечку ДДК, а номер телефона — вообще легчайший способ получить дубликат sim карты в любом отделении с помощью имени владельца и базовых навыков графического редактора.

    Сама компания Burger King прошла проверку стандартам, а значит попадает под все карательные меры, а именно:

    1. Крупные денежные штрафы
    2. Повторные аудиты QSA
    3. Понижение уровня сертификации
    А теперь, если вам стало так интересно, просто откройте спойлер, и все поймете.
    При скачивании, установке и первом запуске приложения перед использованием, ООО «Бургер Рус» (официальное юрлицо) не дает возможности ознакомится с Политикой обработки персональных данных, сведениями о реализуемых требованиях к защите персональных данных, как того требует ст. 18.1 152-ФЗ. Идет запрос мобильного телефона, предлагается ознакомится с пользовательским соглашением. Номер мобильного телефона в данном случае относится к прямо к определенному физическому лицу и является персональными данными.

    [​IMG]

    В попытках отыскать Политику обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных переходим на сайт burgerking.ru
    Ссылки на политику при беглом осмотре не найдено.

    Переходим на страницу обратной связи.

    [​IMG]

    Предлагается оставить целый букет персональных данных, при этом Политику их обработки и сведений о реализуемых требованиях к их защите также при беглом осмотре найти не удалось.
    Одновременно выясняем, что через страницу обратной связи персональные данные обрабатываются на основании согласия, которое дается в неявной форме путем заполнения полей и нажатия на кнопку отправить. Других согласий на обработку персональных данных по обратной связи нам найти не удалось.

    Обработка персональных данных на основании согласия подразумевает уведомление Роскомнадзора в соответствии со ст. 22 152-ФЗ. Ищем ООО «Бургер Рус» в реестре операторов персональных данных,ОГРН берем из соглашения пользователя. Найти также не удалось:

    [​IMG]

    [​IMG]

    В процессе дальнейшей установки приложения также запрашивалось разрешение на управление вызовами, документальное отражение данной привилегии на сайте компании найти не удалось. Не ясно зачем и в каком объеме, нет транспарентности.

    [​IMG]

    Из приложения также не найдена ссылка на сведения о Политике обработки персональных данных с соответствующими сведениями об их защите.

    [​IMG]

    Посмотрим на Пользовательское соглашение.

    п.2.7. обязывает покинуть приложение, если с чем-то не согласны. Это может говорить о том, что Burger King на компромиссы не готов. Запомним.

    [​IMG]

    Вместо адреса электронной почты указана страница с контактами, что не соответствует сути условия. Соглашением адрес электронной почты не установлен, на странице контактов адрес электронной почты также отсутствует. Соглашение таким образом не устанавливает возможности электронного взаимодействия с пользователем, т.к. форма обратной связи договорной не является.

    [​IMG]

    В пункте 3.3. похоже, что компания лукавит. Пусть банковские карты не обрабатываются непосредственно ей, зато явно идет сбор идентификаторов по оплате, времени оплаты (и других данных по заказу), которые прямо или косвенно относятся к определяемому или определенному лицу. Хотелось бы посмотреть, нашло ли это отражение в политике.

    [​IMG]

    п.4.10 вообще отличный. Если пользователь удалит приложение, расторгнув договор, его персональные данные продолжат обрабатываться в полном объеме, пока не будет направлено письменное уведомление. Не забываем про п.2.7.
    Явное нарушение принципов обработки по ст.5 152-ФЗ и оснований обработки по ст.6 152-ФЗ

    [​IMG]

    По п.5.1. вам безальтернативно предложено получать рекламу в неограниченном объеме, даже если вы расторгните договор по п.4.10

    [​IMG]

    По п.5.4. с вами расторгнут соглашение в любой момент, заблокируют приложение. Скорее всего персональные данные в нарушение 152-ФЗ никто не уничтожит, рекламу получать продолжите.

    В п.5.6. Соглашения, согласие на передачу персональных данных дано с нарушением п.3 ст.6 152-ФЗ, в частности не указаны третьи лица, которым передаются персональные данные.

    [​IMG]

    Напоследок можно сказать, что по п.7.3. Компания не отвечает за утерю любых данных Пользователя. Уже только это — вопиющее нарушение положений 152-ФЗ (ст. 7, ст. 19)

    [​IMG]
     
  2. Mr Robot

    Buying Skins
    Mr Robot

    Статус:
    Оффлайн
    Регистрация:
    08.06.18
    Сообщения:
    77
    Репутация:
    85 +/-
    1) Какой смысл устанавливать этот бич-апп?
    2) Уверен им ничего за это не будет.
     
  3. Flowner

         $makemoney$
    Flowner

    Статус:
    Оффлайн
    Регистрация:
    23.02.18
    Сообщения:
    191
    Репутация:
    202 +/-
    Раньше юзал для скидок и купонов, сейчас даже жрать там перехотелось..
     
      Jonik и Mr Robot нравится это.
  4. alexander23

    alexander23

    Статус:
    Оффлайн
    Регистрация:
    19.04.11
    Сообщения:
    411
    Репутация:
    322 +/-
    В оригинальном посте в коментах их представитель сразу же пошел отмазываться мол разрешение очень маленькое ничего не будет видно и важные поля закрыты плашками, но сам факт наличия приложения которое беспардонно делает что хочет это уже наглость.
    Вообще не понимаю как сейчас можно что то юзать без Xprivacy и подобных модулей.
     
  5. Flowner

         $makemoney$
    Flowner

    Статус:
    Оффлайн
    Регистрация:
    23.02.18
    Сообщения:
    191
    Репутация:
    202 +/-
    В России нет спокойной жизни, друг) Что бы ты ни делал, за каждым твоим шагом, да какой-нибудь пид*р будет следить( Пора валить отсюда.
    upload_2018-7-14_13-4-35.png
     
  6. alexander23

    alexander23

    Статус:
    Оффлайн
    Регистрация:
    19.04.11
    Сообщения:
    411
    Репутация:
    322 +/-
    Это глобальная проблема, за буграми анальных зондов ещё больше и ещё жестче. Например любая транзакция - карта/палка, никаких тебе киви, где ещё хоть как то обезличено
     
  7. PAPONISST

    PAPONISST

    Статус:
    Оффлайн
    Регистрация:
    21.01.17
    Сообщения:
    406
    Репутация:
    360 +/-
    Ну ответы от их якобы официального представителя на кексо-ресурсе сами за себя говорят. Хрен я когда-нить у них еще что-то закажу
    [​IMG]
    [​IMG]
    После очередного поста с разоблачением этот же представитель непроизвольно признал что БК профакапилась
    Сам пост: https : // pikabu.ru/story/burger_king_taynaya_slezhka_lozh_khishchenie_bankovskikh_kart_prodolzhenie_6026464 (НЕ РЕКЛАМА. УБЕРИ ПРОБЕЛЫ)
    ответ "представителя". Во всяком случае БК не утверждает что это не их сотрудник:
    [​IMG]