Пользователь портала Pikabu под ником fennikami проанализировал трафик мобильного приложения Burger King и обнаружил, что оно выполняет захват видео с экрана пользователя. По словам представителей компании, полученные данные, включая ввод банковской информации, отправляются на сторонний сервер для анализа взаимодействия с программой.

Как объяснили в Burger Kung, видео записывается на протяжении всего сеанса работы, сбор этой информации необходим для выяснения причин ошибок сбоев приложения.

Анализ трафика показал, что сведения отправляются на удаленный сервер платформы Appsee, который возвращает программе инструкции об интересующих разработчиков элементах интерфейса. Клиентов сети ресторанов возмутило, что захват экрана продолжается даже во время ввода данных банковской карты.

Пресс-служба Burger Kung подтвердила, что компания сотрудничает с сервисом Appsee в рамках анализа поведения пользователей. Подчеркивается, что инструмент ведет запись только с 10% устройств, если возникают проблемы при оформлении заказа.

По словам представителей Burger King, передача данных происходит только при наличии WiFi-соединения. При этом вся финансовая информация, включая номер карты клиента, автоматически скрывается согласно политике конфиденциальности Appsee. Для того чтобы исключить себя из выборки, пользователю необходимо написать об этом в форме обратной связи.

На сайте Appsee сказано, что сервис подчиняется GDPR и принимает необходимые меры для того, чтобы обезопасить информацию пользователей. Однако не гарантирует сохранность личных данных, хранящихся у них или у сторонних сервисов.

Позднее представители Burger King уточнили, что транзакции осуществляются через решение Яндекс.Касса, поэтому ни сеть ресторанов, ни Appsee не хранят банковские данные. Директор департамента диджитал-проектов Сергей Очеретин в комментарии РБК подчеркнул, что все личные сведения обезличены и передаются в зашифрованном виде.

Несмотря на попытки Burger King успокоить пользователей, рейтинг приложения сети ресторанов на Google Play упал до 2,8 баллов. Более того, инцидентом заинтересовался Роскомнадзор. Регулятор направил в компанию официальный запрос с требованием подтвердить или опровергнуть возможность записи видео с экранов устройств и факт ее передачи третьим лицам. На выполнение запроса у сети ресторанов есть 30 дней.

Если информация подтвердится, Burger King должен будет объяснить, каким образом у неопределенного круга лиц оказался доступ к конфиденциальным сведениям и какие шаги планирует предпринять разработчик для исправления ситуации.

Недавнее исследование Северо-Восточного университета зарегистрировало несколько похожих случаев скрытой записи звука и видео в мобильных приложениях. Обработка персональных данных без согласия пользователей может стать серьезной угрозой конфиденциальности. Чтобы сторонние лица не завладели личными данными, пользователям следует внимательно проверять, к каким функциям мобильное приложение запрашивает доступ.

Обновлено 14 июля в 23:38

Пользователь fennikami выпустил пост-продолжение, в котором доказал, что:

  • Передача видео захвата экрана ведется даже через мобильный интернет.
  • Скрытие данных происходит в зависимости от настроек, полученных с удаленного сервера.

Обновлено 3 августа в 14:00

Роскомнадзор включил Burger King в план проверок на 2019 год. Надзорный орган сообщил об этом на своей официальной странице в социальной сети ВКонтакте. Представители ведомства также отметили, что все жалобы, находящиеся вне юрисдикции РКН, направлены в уполномоченные службы.

Категории: Главное, Другие темы, Кибероборона