Разработчик уличил Burger King в слежке за экранами пользователей через приложение Статьи редакции
Сервис якобы записывает на видео экраны смартфонов, в том числе при вводе реквизитов банковских карт. В компании утверждают, что данные карт не собираются.
Мобильное приложение Burger King, с помощью которого можно получать скидки в ресторанах сети, втайне от пользователей записывает видео с экрана смартфона. Об этом рассказал пользователь «Пикабу» под ником fennikami, который проанализировал приложение.
Он обнаружил, что при запуске приложение начинает записывать видео с экрана смартфона и отсылать записи на сервер — даже в свёрнутом состоянии. По словам fennikami, приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа.
Автор публикации утверждает, что доступ к записи имеют не только разработчики Burger King, но и партнёры платформы AppSee, на серверы которой запись также отправляется. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями.
Редакция vc.ru обратилась за комментарием в пресс-службу Burger King с просьбой рассказать, для чего компания записывает экраны пользователей и как использует эти данные. В Burger King на момент написания заметки не ответили на запрос.
Обновлено в 13:15. Представители Burger King сообщили vc.ru, что приложение действительно записывает действия пользователей с помощью сервиса AppSee, но данные карт не собираются.
В компании добавили, что данные собираются на небольшом количестве случайно отбираемых пользователей и охватывают менее 10% всех сессий. Пользователь может отказаться от применения AppSee к его сессиям, написав в поддержку Burger King. Сейчас приложением пользуются около 3 млн человек, отметили в компании, не уточнив период.
AppSee действительно удобный сервис, который позволяет проводить аналитические исследования пользователей своего приложения.
При этом правил он никаких не нарушает (Apple гайды и т.п.).
Однако, надо убедиться, что Burger King в Terms of Use или Политике приватности указал, что данные пользователей передаются в этот сервис. Ну и по классике все по GDPR должно быть соблюдено.
Вот только тут на лицо ошибка разработчиков. Кстати, приложение делалось на аутсорсе, не составляет труда найти название компании, которая его разрабатывала. Разработчики забыли пометить определенные поля (например, карточные данные, другие приватные поля) специальным флагом, по которому система скрывает (прямо реально на видео появляются черные прямоугольники) эти поля, и человек, просматривающий видео, их не видит. Это все происходит на уровне SDK. Такая ошибка часто допускается, когда к проекту привлекают неопытных джуниор-разработчиков.
Зачем? В мире, где существуют такие понятия как ТЗ, тестирование, приемка обвинять аутсорсеров?
Если разработчики что-то забывают, для того и придумали контроль качества
Ни в одном ТЗ такая деталь не прописывается, это супер избыточно. Во время интеграции сервиса разработчик должен ознакомиться подробно с документацией на интеграцию. В ней же черным по белому написано, что сенситив поля надо пометить специальным флагом.
Подтянулись дети, которые знают, как происходит разработка и приемка приложений уровня BK =)