Главная » Хабрахабр » Басня о Burger King и данных пользователей. Комментарии разработчика

Басня о Burger King и данных пользователей. Комментарии разработчика

Мы компания e-Legion — разработчик мобильного приложения Burger King. Привет, Хабр! Пишем этот пост, чтобы успокоить всех, кто волнуется за данные своих банковских карт, и объясняем, как и зачем собираются данные с экранов пользователей.
Действующие лица:

Burger King — владелец приложения, который для работы выбрал систему аналитики AppSee.

e-Legion — разработчик приложения, который получил от Burger King ключи от SDK AppSee и интегрировал его в приложение.

Appsee — аналитический сервис, который собирает статистические данные, передаёт и хранит их в безопасном виде, но тем не менее оказывается под подозрением.

fennikami — как он сообщил о себе: 18 лет, вероятно бородат, в свободное время ковыряет разные приложения

человек, негодующие, что данные их банковских карт могут попасть в руки к злоумышленникам. Возмущенные пользователи — 3 млн.

ПРОЛОГ

11 июня появился на Pikabu, а 12 июня был продублирован на Хабре пост, в котором пользователь fennikami изучает данные трафика мобильного приложения Burger King и делает вывод, что за ним следят: записывают видео с экрана, когда он вводит данные своей банковской карты, а потом передают эту информацию третьим лицам.

Десятки публикаций с заголовками о краже личных данных и сотни писем в адрес Burger King с просьбой прокомментировать написанное в посте. Эта информация возмутила пользователей приложения и взбудоражила СМИ.

АКТ I. Где Appsee записывает экран пользователя и передаёт запись в Burger King

Все приложения тестируются во время разработки и если в них находят баги, то тестировщики пишут багрепорты для разработчиков. Все эти ошибки разработчики исправляют и тестировщики вновь проверяют приложение на предмет возникновения этих ошибок.

Тогда на помощь приходит система аналитики. Некоторые ошибки могут быть не замечены на этапе тестирования, а некоторые нельзя предусмотреть, и ошибки возникают уже у пользователей, например приложение крашится. Ведь пользователи не будут писать нам багрепорты, а благодаря системе аналитики Burger King увидит ошибки, и мы сможем их исправить, чтобы ваше приложение работало стабильно.

Статистика собирается исключительно с целью анализа качества работы приложения, выявления и устранения возможных ошибок, аварийных ситуаций и подобного. В мобильном приложении Burger King используется один из самых известных сервисов сбора и анализа статистики Appsee. Какие-либо частные конфиденциальные пользовательские данные, в этом плане, не представляют интереса и не собираются. Как и в любой статистике, здесь важны массовые показатели.

Это позволяет на существенно более качественном уровне обеспечивать техническую поддержку приложения, обнаруживать и устранять различные недостатки. Одна из важных возможностей статистики Appsee — запись видео с экрана при работе приложения.

Давайте посмотрим, как это происходит и какие данные в итоге попадают в систему аналитики. Обеспокоенность пользователей сбором статистики и особенно записью видео понятна.

  1. Запись и передача видео производится примерно у 10% пользователей, которые выбираются случайно.
  2. Запись и передача видео происходит исключительно при наличии Wi-Fi-соединения и никогда не производится через мобильные сети. www.appsee.com/tutorials/recording-settings
  3. Запись видео ведётся с крайне низким качеством для обеспечения малой нагрузки на ресурсы устройства и каналы передачи данных.
  4. При записи видео автоматически скрываются все поля ввода данных, паролей и изображения с камеры. В аналитике они видны как черные прямоугольники.

Поля ввода закрыты чёрными прямоугольниками.
Скриншот из панели управления Appsee.

АКТ II. Где мы видим, как скрываются данные и разбираем скриншоты с Pikabu

Appsee, как весьма крупная компания на рынке, строго придерживается всех существующих законов о работе с персональными и прочими данными пользователей. В частности европейских требований GDPR, которые во много даже строже российских.

Это видно на скрине самого же fennikami — автора поста на Pikabu. SDK Appsee автоматически распознаёт и скрывает все поля ввода данных, паролей и изображения с камеры. Две строки, которые говорят о том, что все поля скрываются на самом клиенте при записи видео:


Скриншот fennikami из поста на Pikabu

А SDK Appsee работает таким образом, что скрытие полей с личными данными происходит до того, как записи покинут мобильное устройство. Скрытие данных автоматически прописано в коде приложения. Давайте в этом убедимся.

Акт III. Где сравниваем записи на телефоне и в системе аналитики

Видео ещё в телефоне

Спасибо за видео norver, который проверил какие данные действительно отправляются на сервера Appsee в своём посте

Видео пришло в Appsee

Видео записано из панели управления Appsee

Акт IV. Где подводим итоги и награждаем Fennikami за любознательность

Ваши данные в безопасности потому, что:

  • Скрытие личных данных при записи видео для аналитики прописано в коде приложения. Данные скрываются до того, как покинут мобильное устройство.
  • Burger King, e-Legion и Appsee не имеют доступа к банковским данным пользователей. Эти данные не записываются, не хранятся и не передаются третьим лицам.
  • Burger King получает только имя, email и телефон пользователя в соответствии с Пользовательским соглашением: burgerking.ru/legal_for_app
  • Запись видео с экранов помогает собрать статистику с целью улучшения работы приложения.
  • Appsee строго придерживается всех существующих законов о работе с персональными данными пользователей. Это прописано в их политике: www.appsee.com/legal/privacypolicy
  • Передача данных в сервис аналитики Appsee происходит только по Wi-Fi и не расходует мобильный трафик

Всё же не стоит бить тревогу до того, как изучишь все возможности библиотеки или SDK. Автору статьи под ником fennikami хотим выразить респект за любознательность к данным запросов/ответов.

Выбери специальность и пиши на sv@e-legion.com, чтобы получить доступ к учебной программе. Этому мы научим — дарим тебе бесплатное обучение в Академии e-Legion.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

«Империя на глубине»: зачем крупные ИТ-компании прокладывают свои подводные кабели

В середине июля подразделение Google, занимающееся облачными технологиями, объявило о начале работы над первым частным трансатлантическим подводным кабелем — Dunant. «Частный» в этом случае значит, что весь проект реализуется на средства Google. К 2020 году он соединит Вирджинию-Бич, штат Вирджиния, ...

[Перевод] Дети на заказ в ближайшее время? Совет по этике в Великобритании разрешил генную инженерию человеческих эмбрионов

Улучшенные дети могут стать реальными после того, как влиятельная группа учёных пришла к выводу, что «морально допустимо» генетически изменять человеческие эмбрионы. В новом докладе, который открывает дверь к изменению закона, Nuffield Council on Bioethics сказали, что редактирование ДНК может стать ...