Ситуация вокруг расследования о том, что Burger King записывает видео с экрана, в том числе при вводе реквизитов банковских карт, — переросла в нечто странное. Дошло до того, что, мягко угрожая, вероятный представитель Burger King утверждает, будто вычислил автора расследования.

2-11--01

С чего всё началось?

История началась с момента, когда пользователь «Пикабу» под ником fennikami проанализировал приложение сети Burger King. Он утверждал, что при запуске приложения начинается запись видео с экрана смартфона и отправка его на сервер. Как оказалось, данные отсылаются и партнёрам платформы AppSee — сервису метрики для приложений.

Один из разработчиков приложения Burger King в «Пикабу» ответил на заявление пользователя и отметил, что все записываемые данные на сервера действительно приходят, но в обезличенном формате:

Все данные агрегируются и приходят к нам в обезличенном формате. На основе общих данных мы принимаем решения, что нужно доделать или исправить. Все персональные данные и другие реквизиты банковских карт мы не видим, т.к. сам сервис не записывает эти данные, — выдержка из ответа разработчика.

Позже появились и официальные комментарии Burger King. Сергей Очеретин, директор департамента диджитал-проектов «Бургер Кинг Россия», пояснил:

Мобильное приложение Burger King с удаленным заказом не собирает персональных данных своих подписчиков. Все транзакции надежно защищены одним из лучших эквайеров страны — «Яндекс.Касса». Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере.

Только вот в итоге обсуждение проблемы перенеслось в топик на форум 4pda, где Сергей активно отвечает пользователям на различные вопросы.

В один прекрасный момент он перечеркнул достоверность официальных слов сети Burger King.

Почему?

Сергей Очеретин в одном из своих сообщений на форуме 4pda ответил автору расследований по безопасности приложения Burger King, сообщив, что вычислил аккаунт «исследователя», намекнув на возможное преследование:

s9nw8xystdq26eqaxjn8slndgti

Сергей Очеретин:

-орфография и пунктуация комментария автора сохранены-

Да но у нас есть логи кто нажал на это незамазанный рандомный ресторан
В какое время и другая информация для точной идентификации устройства и пользователя, так же мы конечно же сразу проверили ваши аккаунты
Вы распространяете ложную информацию и наносите убытки предприятию
Если вы действительно прислали РЕАЛЬНОЕ видео полученое с приложеия без вмешательство в его работу это залет кучи програмистов и компании
Можете написать тогда в личку мы обсудим все
Я на 100% уверен что это фейк

Далее он отметил, что логи с действиями пользователя собираются абсолютно всеми компаниями:

davl98jv8lmgdrahwaazcp7coni

Логи что пользователь нажал туда выбрал то что модель телефона такая перешел туда
собирают абсолютно все, к тому же вы вами их выложили скриншоты в общий доступ.

-орфография и пунктуация комментария автора сохранены-

Больше всего удивили следующие слова из сообщения:

Конечно мы проверили кто вы такой и не только мы. Это законом не запрещено.
Я подписываюсь реальной Фамилией и Именем и предлагаю в Вам в случае что это все не фейк приехать к нам в офис и все обсудить
Потому что если реально данные карт в видео есть,-это залет.
Но я лично проверверил не один десяток записей, там все безопасно, но вы утверждаете обратное, если это действительно так то вы можете смело идти в полицию и подать заявление на нас и компания БК реально попадет миллионные на штрафы, а вы кумир миллионов.

Фейк или нет?

В начале разгара дискуссии, которую позже авторы топика удалили, на 4pda появляется сообщение от аккаунта hekk, в котором автор от имени Сергея Очеретина предоставляет доказательства, противоречащие расследованию пользователя «Пикабу»:

dfdgege

В итоге Сергей начал противоречить своим же словам, но он ли это?

Несмотря на то, что на одном из ресурсов присутствует открытая информация по поводу Сергея Очеретина, где утверждается, что он родился 18 июля 1974 года, на страничке ВКонтакте, которая явно принадлежит IT-директору Burger King, указан 1975 год, а также оставлена ссылка на аккаунт в социальной сети «Мой Мир», никнейм которого совпадает с ником аккаунта на 4pda, где также указан 1975 год рождения Сергея.

Такая информация является возможным подтверждением, что человек, который на данный момент находится на посту директора департамента диджитал-проектов
«Бургер Кинг Россия», реально писал на форуме слова, полностью перечёркивающие официальные заявления Burger King.

«Код Дурова» обратился в пресс-службу Burger King за комментарием ситуации на форуме 4pda, но ответ на момент публикации статьи мы не получили.

Итоги

РосКомСвобода провела своё расследование по поводу статьи пользователя «Пикабу», и выяснила, что приложение Burger King не соответствует закону Российской Федерации №152-ФЗ:

GDPR накладывает более строгие требования к обработке персональных данных. Если нарушены основные принципы обработки персональных данных по 152-ФЗ, о возможных нарушениях по GDPR (если он применяется) можно даже и не говорить. Когда нарушения в компании видны только лишь при визуальном осмотре сайта, скорее всего нет (или присутствует формально) должной организационно-распорядительной документации, это прямое следствие. Внешние документы (это те, с которыми может или должен ознакомиться любой) должны быть всегда идеальными, а разработка приложения не только по GDPR, но даже по 152-ФЗ должна начинаться с принципов «privacy by design», — Денис Лукаш, исполнительный директор Центра цифровых прав.

Юристы РосКомСвободы предположили, что у ООО «Бургер Рус» есть признаки нарушений как минимум по п.5, п.6, п.18.1, п.19 Федерального закона «О персональных данных», поэтому был предложен час бесплатной консультации Центра цифровых прав, юридическая служба которого поможет обеспечить безопасность пользователей приложения Burger King на должном уровне.

Верить ли Burger King — дело каждого пользователя. Компания действительно переживает за сохранность данных пользователей приложения, но, если представитель Burger King действительно был участником произошедшей ситуации на 4pda, выходит, что некоторые заявления на одну тему явно не соответствуют другим комментариям.

Ранее Burger King дал комментарий «Коду Дурова» по поводу расследования пользователя «Пикабу» о слежке за пользователями приложения сети питания:

Мы используем аналитическую платформу AppSee для выявления технических проблем и «узких» мест в работе приложения. Данные объединяются и приходят к нам в обезличенном формате. Никаких персональных данных и тем более данных банковских карт мы не получаем и не передаём. Наше приложение абсолютно безопасно!

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!