Пост с таким заголовком появился 11.07.2018 и сразу вызвал огромный резонанс (тут обновляемый оригинал). За ним последовали ответы от разработчиков приложения и уточнения автора расследования, вмешательство РКН, реакция СМИ и общественности. Мы собрали для вас фрагменты истории и подготовили изложение основных моментов, чтобы не читать все имеющиеся по теме материалы.
Автор поста — студент, «в свободное время ковыряющий разные приложения», обнаруживает что приложение Burger King содержит сервис AppSee, который записывает экран пользователя и отправляет видео заказчику, оставляя копию на своих серверах. Таким образом собирает персональные данные пользователей, в т.ч. реквизиты платежных карт и нагружает сеть фоновым траффиком.
Взбудораженная общественность делится на 2 условных лагеря: одна часть начинает суетиться и вопрошать: «да как они посмели?», параллельно изучая принципы работы интернет-маркетинга. Вторая рассказывает, что сбор аналитических данных — обычная практика и ничего такого, а вся важная информация скрывается приложением.
Запросы по этой теме Burger King игнорируют до тех пор, пока не вмешивается РКН, мягко намекая, что заинтересовался историей.
Компания e-Legion — разработчики, занимавшиеся интеграцией «шпионского сервиса» в приложение, выпустили разбор принципов его работы, в котором поблагодарили автора расследования за наблюдательность и предложили ему бесплатное обучение. Там же заверили всех остальных в полной конфиденциальности и обезличенности собираемых данных. Топовый комментарий под разбором выглядит так:
В СМИ тем временем появляются публикации, сообщающие об опровержении со стороны Burger King’а информации о сборе данных, без подробностей и конкретики.
После первых реакций, автор оригинального поста публикует дополнение с разбором ответов. Там он указывает на ложь со стороны Burger King, опровергающих запись видео, которую подтвердили сами разработчики. Также ссылается на несоответствие приложения российскому законодательству (N152-ФЗ «О персональных данных»), вместо которого интеграторы ориентируются на европейский GDPR. Автор делает акцент на том, что обезличенность невозможна, когда помимо видео записывается телефон, имя и E-mail пользователя. К нему присоединяется РосКомСвобода, опубликовавшая в своем обзоре многочисленные нарушения 152-ФЗ, которые доказывают несоответствие и более строгому GDPR.
Вдобавок автор размещает пример перехваченного видео, которое у него запрашивали в качестве подтверждения и поясняет принцип работы «скрытия данных карт»:
«Скрытие личных данных не прописано в коде приложения.
Скрытие личных данных при записи видео — это параметр, который приложение запрашивает каждый раз у удаленного сервера, и только после получения ответа («да» или «нет») оно устанавливает значение параметра в «скрывать личные данные» или «не скрывать личные данные».
Данный параметр контролируется удаленно и поменять его Burger King может в любой момент. Проще говоря: хочет — не скрывает, хочет — скрывает.»
В дополнение пользователь хабра с ником norver делает разбор работы сервиса appsee:
Если обобщить: видео записывается и хранится в нескольких местах (у заказчика и на сервисе). Данные ретушируются, но частично и управляемо. Кто, в какой момент и с какой целью может получить к ним доступ — открытый вопрос.
А украшает картину реакция разработчиков и айтишников Бургер Кинга, которая сформулирована в этом комментарии:
История явно не закончилась и будет иметь продолжение. Как минимум, она вызвала огромный интерес рядовых пользователей к устройству приложений, которыми они пользуются не задумываясь. Значит, скорее всего, мы увидим еще подобные разборы в ближайшее время.