Разработчик уличил Burger King в слежке за экранами пользователей через приложение Статьи редакции
Сервис якобы записывает на видео экраны смартфонов, в том числе при вводе реквизитов банковских карт. В компании утверждают, что данные карт не собираются.
Мобильное приложение Burger King, с помощью которого можно получать скидки в ресторанах сети, втайне от пользователей записывает видео с экрана смартфона. Об этом рассказал пользователь «Пикабу» под ником fennikami, который проанализировал приложение.
Он обнаружил, что при запуске приложение начинает записывать видео с экрана смартфона и отсылать записи на сервер — даже в свёрнутом состоянии. По словам fennikami, приложение записывает экран даже когда пользователь вводит данные банковской карты для оплаты заказа.
Автор публикации утверждает, что доступ к записи имеют не только разработчики Burger King, но и партнёры платформы AppSee, на серверы которой запись также отправляется. AppSee позволяет измерять активность пользователей и оценивать их взаимодействие с приложениями.
Редакция vc.ru обратилась за комментарием в пресс-службу Burger King с просьбой рассказать, для чего компания записывает экраны пользователей и как использует эти данные. В Burger King на момент написания заметки не ответили на запрос.
Обновлено в 13:15. Представители Burger King сообщили vc.ru, что приложение действительно записывает действия пользователей с помощью сервиса AppSee, но данные карт не собираются.
В компании добавили, что данные собираются на небольшом количестве случайно отбираемых пользователей и охватывают менее 10% всех сессий. Пользователь может отказаться от применения AppSee к его сессиям, написав в поддержку Burger King. Сейчас приложением пользуются около 3 млн человек, отметили в компании, не уточнив период.
AppSee действительно удобный сервис, который позволяет проводить аналитические исследования пользователей своего приложения.
При этом правил он никаких не нарушает (Apple гайды и т.п.).
Однако, надо убедиться, что Burger King в Terms of Use или Политике приватности указал, что данные пользователей передаются в этот сервис. Ну и по классике все по GDPR должно быть соблюдено.
Вот только тут на лицо ошибка разработчиков. Кстати, приложение делалось на аутсорсе, не составляет труда найти название компании, которая его разрабатывала. Разработчики забыли пометить определенные поля (например, карточные данные, другие приватные поля) специальным флагом, по которому система скрывает (прямо реально на видео появляются черные прямоугольники) эти поля, и человек, просматривающий видео, их не видит. Это все происходит на уровне SDK. Такая ошибка часто допускается, когда к проекту привлекают неопытных джуниор-разработчиков.
Зачем? В мире, где существуют такие понятия как ТЗ, тестирование, приемка обвинять аутсорсеров?
Если разработчики что-то забывают, для того и придумали контроль качества
только вот контроль качества обычно так же проходит на стороне аутсорсера, а не клиента.
Приемка проводится на стороне клиента
Ну Appsee мелкая контора, и BK тоже, да и в их приложении тысячи экранов же - недоглядели, что там замазать нужно
Ежедневно в их приложениях всегда шлется видео (правда, только по Wi-Fi...), но русский хакер все раскопал, закрытие БК неминуемо!
"приложений уровня BK" - оно может особо ничем не отличаться от разработки приложений для соседнего магазинчика. Размер конторы особо не влияет на процедуры. Процедуры они либо есть либо их нет. Причем на стороне заказчика могут быть только бизнес/маркетинг люди, которые приемку проводят по принципу
- О, выглядит красиво. Работает?
- работает.
- тест группа сказал ок?
- ок.
- ну и ок - пускайте в продакшен.
И да, отвечая на ваш комментарий ниже - да, у меня лично есть опыт работы с крупными заказчиками. И много историй ) К примеру, у нас есть клиент - университет из лиги плюща. Так там приложение с доступом к кучей конфидициальной информации к тысячам учащимся (включая SSN), отдано на тестирование / приемку СТУДЕНТАМ! И далеко не IT факультета. Другой клиент - крупный бизнес (опять же - в США), так же с доступом к персональным данным, с более миллионом посещений в месяц и оборотом в месяц в долларах = примерно этой же сумме, вообще не тестирует обновления сам. Он просто самоудалился из этого процесса. У него в продакшен все идет - вот как выше указано. Тестирует исключительно наш отдел качества. Все.
Это демагогия, на хабре чел перепроверил, и поля действительно замазываются. Автор банально соврал (либо глуп)