Я имел ввиду, что в андроид версии по словам разработчиков они жестко прописаны внутри приложения на скрытие полей, не важно что приходит от AppSee. Возможно стоит проверить андроид версию на предмет подмены конфига, чтобы узнать как поведет себя приложение в 2 разных случаях, с подменой и без.
Дело в том что на 4pda автор вел беседу с разработчиками android версии приложения и они клялись:
4. Элементы интерфейса, не входящие в перечень автоматического скрытия, могут быть указаны (и указаны) в приложении явно.
Как это видно из скрина самого же автора поста у нас есть два поля, которые говорят о том, что все поля скрываются на самом клиенте при записи видео, на скрине ниже.
-HideInput= True
-HideSensativeView= True
Прежде чем кого-то наказывать, надо разобраться в ситуации.
«Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение» но исходя из заголовка и написанного в статье разбирательств уже не нужно. Повторюсь вместо выяснения истинности доказательств и претензий уже почему-то перешли к обсуждению приговора, изменив контекст обсуждения на то, что БК виновен априори.
Выше в ветке обсуждения я привел перечень вопросов, которые у меня возникли, мне не зачем обличать обличителя и ввязываться в этот холивар, вставая на чью-то сторону, я поступлю мудро и буду наблюдать со стороны. Я вправе высказывать свое мнение касательно публичных доводов автора, БК, разработчиков приложения, AppSee, а не пытаться вас в чем-то переубеждать, если вам не нравится мое мнение касательно аргументации, вы имеете на это полное право, но другого пока что у меня нет, появятся новые сведения по данной ситуации я возможно выскажусь на этот счет и извинюсь, если вина БК, AppSee, либо других фигурантов будет точно доказана.
К сожалению для вас, остаюсь при своем мнении относительно автора. Я считаю, что доказательства, которые он предоставил, можно фальсифицировать подменой JSON конфига сервиса. Слишком много эмоций и мало сути. Обвинения и претензии такого рода требуют досконального анализа, а не поспешных рассуждений и обвинений в отношении БК, AppSee и разработчиков приложения. Это утверждение не касается юридических претензий от РосКомСвободы. Понижение мне кармы за критику в сторону автора сути не изменит.
Я уверен только лишь в том, что за данными органами есть право наказывать компании за нарушение законов РФ. Не мне оценивать их компетентность или ее отсутствие.
Лично я считаю, что легальность использования AppSee на территории РФ и соответствие их подхода к сбору аналитики должны оценить эти органы в соответствии с законами это регламентирующими, как и подход БК к использованию стороннего сервиса.
Вся суть холивара в «тайном» использовании AppSee на территории РФ компанией БК и нарушениях законодательства, которые им приписывает общественность. Если будут разъяснения от РКН, то все закончится и довольно быстро.
С чего вы это вдруг решили, они с 2012 года работают, являются крупным сервисом сбора аналитики. От таких доводов и фейсбук тоже malware-сервис.
2) Как видно из перехваченного видео — данные передаются без какой-либо обработки
Не видно. Видео снимается на клиенте, куда приходит JSON конфиг, который можно подменить.
3) Представители Burger King заняли позицию, что они ничего не нарушают, так как данные от AppSee им уже приходят после обработки и они не видят в них ДДК, как они утверждают.
Претензии РосКомСвободы должны быть проверены компетентными органами, юридический отдел БК пусть отдувается, когда будет пресс-релиз по этому вопросу можно в утвердительной форме говорить о нарушениях законодательства и последствиях для БК.
Представитель БК принимает участие в холиваре, который развязал пользователь, упрекающий компанию в нарушении законодательства и многих других вещах, из фактов только видео, которое можно подделать и много выводов на основании сомнительной информации, требующей тщательной проверки из-за серьезности обвинений.
Потому я и говорю, что хабр вдруг стал площадкой для холивара против БК, компанию без досконального разбирательства уже сделали виновной, хотя для этого нет никаких предпосылок. Зачем-то слили карму автору в статье от разработчиков, тоже не разобравшись в сути, вместо выяснения истинности доказательств и претензий уже почему-то перешли к обсуждению приговора, изменив контекст обсуждения на то, что БК виновен.
Ну судя по взлетевшей карме и рейтингу автора, и по тому, что меня уже немного загнали в минус, да многие доверяют автору и не поддают его доводы критике и сомнению.
Для автора это превратилось в некую священную войну. Пользователь chestersetв своем комментарии хорошо расписал впечатления от нее.На хабре технические составляющие статьи должны преобладать над эмоциями и обвинениями, потому как это все скатилось в то, что хабр стал площадкой для холивара против БургерКинга. От себя добавлю, что новая статья добавляет только больше вопросов ко всем сторонам разбирательств. Верить на слово вам, либо бургеркингу, либо разработчикам уже не получится.
1) Брутфорс админской панели, поиск эксплоитов, попытка DDoS — предоставьте хоть какие-то доказательства, логи веб-сервера, админки, хостера.
2) Идентичность видео потока — нужны исходники 2 снятых видео, чтобы их можно было сопоставить.
3) Если видео может быть скомпрометировано подменой JSON конфигурации, его вообще нельзя принимать как доказательство от всех сторон разбирательства. Нельзя доказать достоверность. Без анализа всего массива видео в AppSee бесполезно что-то вообще на эту тему говорить.
4) Запись видео с выключенным в конфигурации сокрытием полей — логи от AppSee с включением настроек, которые бы это доказывали, логи отправки конфигов и т.п.
5) нарушение федерального закона «О персональных данных» и т.д. — компетентные органы должны решить нарушает или нет. Высказанные точки зрения являются субъективными.
6) В России соблюдение GDPR ничего не значит. На компанию распространяется GDPR:
-если компания продвигает товары или услуги в ЕС;
-если компания мониторит поведение субъектов из ЕС;
-если компания обрабатывает персональные данные европейцев (хотя бы 1 европейца);
-если компания имеет филиал или представительство в ЕС.
7) грубость и угрозы от сотрудников бургеркинга. Любой человек может зарегистрироваться под ником ZheniaBurgerKing, чтобы его идентифицировать надо приложить усилия. Скринов для хабра не достаточно, это не пикабу.
8) Факты вранья бургеркинга основываются только на видео записанном, либо все же есть еще доказательства?
Нет не все ли равно, обвинения вполне конкретные о сливе конфиденциальной информации о банковских данных, надо быть последовательными и думать что говорите.
Заявлять о сливе данных, не имея доказательств, такое себе занятие. Новость подается в контексте того, что специально тайно бургеркинг шпионит за клиентами и ворует их конфиденциальную информацию, но это совершенно не так.
Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
Я понимаю написанное как: «Вы ввели конфиденциальные данные -> все записалось на видео -> видео передалось в AppSee и к другим людям, которые это смогут увидеть.»
Ни слова о том, что данные обезличены и скрыты, прямое утверждение о передаче видео с записью конфиденциальной информации.
Ну и вишенка на торте: экран записывается даже тогда, когда Вы вводите данные своей банковской карты в приложении (и это необходимо для осуществления заказа). Заметьте, все данные.
И финальная вишенка: мало того, что записывать экран — весьма сомнительное занятие, так еще к записанным видео имеют доступ не только разработчики приложения Burger King, но и различные партнеры AppSee (то есть — совершенно левые люди с неизвестными намерениями), да и сам AppSee тоже.
Напомню — видео записывается даже тогда, когда вы указываете данные своей банковской карты. И к нему имеют доступ кто попало.
А это не похоже на «обвинение»? В утвердительной форме автор написал что номер карты и другие данные попадают в AppSee и к другим «левым людям», его попросили доказать такие высказывания, он молчит.
Автор накидал обвинений, не предоставил доказательств. По сути он показал, что бургер кинг собирает аналитику в своем приложении, но ее собирают повсеместно.
Обвинил AppSee в получении и распространении конфиденциальной информации.
Вдобавок ко всему, эту информацию разнесли СМИ, что несомненно привело к панике на ровном месте среди пользователей, которые вообще не понимают назначение AppSee. И на хабре это воспринимают нормальным.
«Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — »Яндекс.Касса". Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере", — сообщает компания.
Burger King отмечает, что все данные обезличены и закодированы. " Приложение Burger King действительно подключено к одной из самых известных во всем мире и защищённых аналитических платформ — AppSee, которая позволяет выявлять технические проблемы и другие «узкие» места в работе приложения. Эта система не имеет ничего общего со сбором персональных данных, более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.
Нет это всего лишь говорит, что они 6 лет работают на рынке Америки и Европы и ни у кого к ним не возникло серьезных вопросов. Пример с фейсбуком тут причем? Это политическое разбирательство, а не нарушение каких-то законов. И человек, которого вы защищаете пока что не предоставил фактов передачи видео на сторону, но нагнал пурги, которую понесли все СМИ без понимания, что они даже сообщают, в итоге паника посеяна из-за одного некомпетентного человека и толпы зевак, которые без понимания верят во все, что им сказали.
Меня беспокоит только человеческое невежество, которое порождает панику. Appsee появились на рынке в 2012 году, причем открыто заявили о своих фичах, но до сих пор находятся люди «уличающие» их в воровстве персональных данных. Наверное это заговор, что они 6 лет собирают статистику и их еще не прикрыли.
Причем в интервью Цахи Боуссиба открыто заявлял о фичах. apptractor.ru/measure/user-analytics/zahi-boussiba-appsee-interview.html
Зачем разгонять новость о сборе аналитики мобильным приложением? Дешевая популярность и внимание. Вы бы хоть прочли про Appsee и зачем он нужен.
Год назад еще про него писали статьи другие параноики:
«Через сервис статистики AppSee уводились номера российских банковских карт.» news.rambler.ru/internet/36063287
4pda.ru/forum/index.php?showtopic=882570&st=40#entry75009457
Автор же тестировал на iOS, возможно что приложение под нее отличается.
«Burger King: тайная слежка, ложь, хищение банковских карт. Продолжение» но исходя из заголовка и написанного в статье разбирательств уже не нужно. Повторюсь вместо выяснения истинности доказательств и претензий уже почему-то перешли к обсуждению приговора, изменив контекст обсуждения на то, что БК виновен априори.
Лично я считаю, что легальность использования AppSee на территории РФ и соответствие их подхода к сбору аналитики должны оценить эти органы в соответствии с законами это регламентирующими, как и подход БК к использованию стороннего сервиса.
Вся суть холивара в «тайном» использовании AppSee на территории РФ компанией БК и нарушениях законодательства, которые им приписывает общественность. Если будут разъяснения от РКН, то все закончится и довольно быстро.
С чего вы это вдруг решили, они с 2012 года работают, являются крупным сервисом сбора аналитики. От таких доводов и фейсбук тоже malware-сервис.
Не видно. Видео снимается на клиенте, куда приходит JSON конфиг, который можно подменить.
Вполне себе позиция, презумпция невиновности.
Представитель БК принимает участие в холиваре, который развязал пользователь, упрекающий компанию в нарушении законодательства и многих других вещах, из фактов только видео, которое можно подделать и много выводов на основании сомнительной информации, требующей тщательной проверки из-за серьезности обвинений.
Потому я и говорю, что хабр вдруг стал площадкой для холивара против БК, компанию без досконального разбирательства уже сделали виновной, хотя для этого нет никаких предпосылок. Зачем-то слили карму автору в статье от разработчиков, тоже не разобравшись в сути, вместо выяснения истинности доказательств и претензий уже почему-то перешли к обсуждению приговора, изменив контекст обсуждения на то, что БК виновен.
Дает А, вполне себе там нормально все с HTTPS. Для любопытства полная информация в «Protocol Details».
Было такое старое исследование по поводу HSTS
news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to-trivial-mitm-attacks.html
Путь к перехвату ради чего, чтобы посмотреть аналитику из приложений? Для этого надо много факторов чтобы совпало, ректальный криптоанализ быстрее решит эту задачу.
1) Брутфорс админской панели, поиск эксплоитов, попытка DDoS — предоставьте хоть какие-то доказательства, логи веб-сервера, админки, хостера.
2) Идентичность видео потока — нужны исходники 2 снятых видео, чтобы их можно было сопоставить.
3) Если видео может быть скомпрометировано подменой JSON конфигурации, его вообще нельзя принимать как доказательство от всех сторон разбирательства. Нельзя доказать достоверность. Без анализа всего массива видео в AppSee бесполезно что-то вообще на эту тему говорить.
4) Запись видео с выключенным в конфигурации сокрытием полей — логи от AppSee с включением настроек, которые бы это доказывали, логи отправки конфигов и т.п.
5) нарушение федерального закона «О персональных данных» и т.д. — компетентные органы должны решить нарушает или нет. Высказанные точки зрения являются субъективными.
6) В России соблюдение GDPR ничего не значит. На компанию распространяется GDPR:
-если компания продвигает товары или услуги в ЕС;
-если компания мониторит поведение субъектов из ЕС;
-если компания обрабатывает персональные данные европейцев (хотя бы 1 европейца);
-если компания имеет филиал или представительство в ЕС.
7) грубость и угрозы от сотрудников бургеркинга. Любой человек может зарегистрироваться под ником ZheniaBurgerKing, чтобы его идентифицировать надо приложить усилия. Скринов для хабра не достаточно, это не пикабу.
8) Факты вранья бургеркинга основываются только на видео записанном, либо все же есть еще доказательства?
Заявлять о сливе данных, не имея доказательств, такое себе занятие. Новость подается в контексте того, что специально тайно бургеркинг шпионит за клиентами и ворует их конфиденциальную информацию, но это совершенно не так.
Я понимаю написанное как: «Вы ввели конфиденциальные данные -> все записалось на видео -> видео передалось в AppSee и к другим людям, которые это смогут увидеть.»
Ни слова о том, что данные обезличены и скрыты, прямое утверждение о передаче видео с записью конфиденциальной информации.
А это не похоже на «обвинение»? В утвердительной форме автор написал что номер карты и другие данные попадают в AppSee и к другим «левым людям», его попросили доказать такие высказывания, он молчит.
Обвинил AppSee в получении и распространении конфиденциальной информации.
Вдобавок ко всему, эту информацию разнесли СМИ, что несомненно привело к панике на ровном месте среди пользователей, которые вообще не понимают назначение AppSee. И на хабре это воспринимают нормальным.
tass.ru/ekonomika/5368255
Причем в интервью Цахи Боуссиба открыто заявлял о фичах.
apptractor.ru/measure/user-analytics/zahi-boussiba-appsee-interview.html
Год назад еще про него писали статьи другие параноики:
«Через сервис статистики AppSee уводились номера российских банковских карт.»
news.rambler.ru/internet/36063287