Comments 122
Недавно кто-то в комментах сострил, что скоро колбаса в холодильнике будет следить за ним. Похоже, мы движемся в эту сторону…
Поэтому я терпеть не могу устанавливать подряд все приложения: такси, маркеты итп. Кто знает, что они там и куда шлют?
Поэтому я терпеть не могу устанавливать подряд все приложения: такси, маркеты итп. Кто знает, что они там и куда шлют?
UFO just landed and posted this here
Не очень давно спорил с человеком, где покупать сахар. Он говорил, что в «Перекрестке», а я говорил, что там один псевдотростниковый и прочая демерара, а мне нужен обычный белый, но не бомж-категории короче суть в том, что несколько раз мы громко произнесли во время спора «сахар в Перекрестке».
Я приехал домой, и на компьютере у меня вылезла контекстная реклама «сахар в Перекрестке». После чего я немного постоял, посмотрел в окно, осознал, в какое время живу и смирился с этим.
Я приехал домой, и на компьютере у меня вылезла контекстная реклама «сахар в Перекрестке». После чего я немного постоял, посмотрел в окно, осознал, в какое время живу и смирился с этим.
А кто в итоге подслушал? фейсбук? Хром?
Ось Андроид/iOS?
Ось Андроид/iOS?
Единственная нить, пожалуй, что я был залогинен в почте на мобиле и дома. Мобила на старом андроиде. Почта Яндекс, оба браузера хромы.
Приложений не использую вообще никаких, кроме браузера хром, инсты, вотсапа и телеги, а также яндекс карт.
Приложений не использую вообще никаких, кроме браузера хром, инсты, вотсапа и телеги, а также яндекс карт.
Скорее всего какой-нибудь голосовой поиск сработал, а вы не запомнили.
Старые андроиды точно ничего не слушают постоянно. Не потому что прайваси, а потому что батарейка садится, блин!
Старые андроиды точно ничего не слушают постоянно. Не потому что прайваси, а потому что батарейка садится, блин!
оба браузера хромыНу дык, давно известно, что это в первую очередь не браузер, а зонд. (И да, опенсорсность хромиума ни от чего гарантией не является.)
ЕМНИП, этим слушанием занимаются приложения яндекса, оттуда же и предложения в директе.
Пруфов лично у меня нет, но вроде на хабре про это писали уже.
Пруфов лично у меня нет, но вроде на хабре про это писали уже.
У вас есть андроид, приложения от яндекса и приложения от фейсбука. Тут минимум три варианта кто мог слушать.
Правильнее спрашивать, в чьём рекламном блоке была реклама. Тот и подслушивает.
Совсем недавно, ехал с моря, обсуждал с женой, что нужно найти подходящий фитнес-клуб и купить абонемент. Потом забыл разговор. Вспомнил о нем, когда яндекс.директ стал показывать мне несколько баннеров с клубами на одной странице. Рассказал жене. Она ответила, что теперь понятно, почему хром стал показывать информацию про гадания и знаки зодиака. Несколько дней назад, на детской площадке, она обсуждала с мамашами, у кого какие знаки зодиака.
Хе-хе-хе. Ваш пример ничто по сравнению с моей паранойей: я могу подумать, а оно случается… Да, ладно-бы просто случалось… оно ведь и в контекстную рекламу предварительно суётся… матрица, матьеё…
1. Еду с работы и по дороге с другом говорю о задаче для решения которой наверное было бы целесообразно VPS арендовать. В течение нескольких дней мне навязчиво предлагали VPS.
Было года 3 назад
2. Поговорил недавно с женой о приобретении духового шкафа. Эффект тот-же — несколько дней сплошные магазины бытовой техники
3. Сам сейчас работаю над созданием и поддержкой виртуального хостинга. После пары разговоров с домашними или по телефону с друзьями о том «как жизнь, чем занимаешься» мне предлагают либо заказать сайт на коммерческом движке одного известного производителя либо хостинг для сайта сделанного на этом самом движке.
Подобного уже довольно много происходило в последнее время. Общего во всех случаях только Андройд. Разные устройства, разные версии ОС, хром только на 1 последнем появился. До этого пользовался всегда FF. Так что да, за нами следят и от этого моя паранойя чешется сильнее чем обычно :-)
Было года 3 назад
2. Поговорил недавно с женой о приобретении духового шкафа. Эффект тот-же — несколько дней сплошные магазины бытовой техники
3. Сам сейчас работаю над созданием и поддержкой виртуального хостинга. После пары разговоров с домашними или по телефону с друзьями о том «как жизнь, чем занимаешься» мне предлагают либо заказать сайт на коммерческом движке одного известного производителя либо хостинг для сайта сделанного на этом самом движке.
Подобного уже довольно много происходило в последнее время. Общего во всех случаях только Андройд. Разные устройства, разные версии ОС, хром только на 1 последнем появился. До этого пользовался всегда FF. Так что да, за нами следят и от этого моя паранойя чешется сильнее чем обычно :-)
Сегодня хотел скачать приложение для отправки на печать на принтер brother. Увидел список "требуемых" разрешений и перехотел
На новых андроидах разрешения для приложений по умолчанию отключены (вроде с 6 версии). Можно разрешить некоторые при необходимости
К сожалению не совсем так. Они отключены для приложений, которые знают про 6ю версию. Те которые «как бы не знают» — работают по старинке.
Но да, гайки скоро начнут закручивать.
Но да, гайки скоро начнут закручивать.
А давайте вспомним ещё одну вещь
Приложение делает перехват нажатий, и координаты пальца на экране передает третьим лицам.
Это значит что закрывай/не закрывай поля, но они знают точное положение каждой нажатой клавиши на клавиатуре вашего мобильного
Приложение делает перехват нажатий, и координаты пальца на экране передает третьим лицам.
Это значит что закрывай/не закрывай поля, но они знают точное положение каждой нажатой клавиши на клавиатуре вашего мобильного
Appsee не записывает нажатия клавиш клавиатуры
клавиш нет, а координаты записывает
А координаты каждой буквы на клавиатуре всегда известны
А координаты каждой буквы на клавиатуре всегда известны
Чтобы знать координаты каждой буквы, нужно узнать, какое приложение для ввода использует пользователь, какой режим ввода он использует, какую раскладку и т.д. Вы исследовали приложение на наличие этого функционала?
Задача выглядит нетривиальной, но в большой степени разрешимой. С учетом того, что номер карты содержит контрольную сумму и известно, что я ввожу только цифры.
дайте мне модель телефона и координаты нажатий, и я восстановлю номер при помощи миллиметровки с точностью 80-90%. а если еще откалибровать по последним 4 цифрам номера, точность возрастет до 99.99%
Или по первым, набор которых в каждой отдельной стране весьма небольшой.
Во сколько мне обойдется написание универсального решения для покрытия 80% актуальных моделей телефонов, включая айфоны, разумеется?
Чукча не читатель, но что-то мне подсказывает, если есть информация о нескольких цифрах
и координаты их нажатий, то создать маску с цифрами не проблема(если они не одинаковые). Там всего 2 варианта развития событий — нампад или верхняя строка клавиатуры.
Тем самым все же, собирая некоторую информацию о картах, в частности 4 последние цифры карты,
и координаты их нажатий, то создать маску с цифрами не проблема(если они не одинаковые). Там всего 2 варианта развития событий — нампад или верхняя строка клавиатуры.
Именно. Я так и не понял, почему все начали защищать приложение и сервис сбора информации (который явно не указывает что информация собирается), даже с учетом что прошла я статья была ошибочная.
Очень хорошо что у автора этой статьи
Только нигде это не указывается и никто не сидит не мониторит какие же значения приходят. Сейчас true, потом что-то стукнет в голове и будет false, а человек даже об этом не узнает.
Во-вторых, позиция «мы установили у вас дома скрытые камеры, но не беспокойтесь, когда вы голый, наш человек отворачивается» — сама по себе вызывает вопросы к тем людям, кто защищал эту позицию в прошлом посте, ведь «ну надо же как-то тестировать».
И третий пункт не такой критичный, но всё же. В данный момент у меня тариф с 1 гигом трафика мобильного, ибо я либо дома, либо на работе и мне хватает с головой этого гига. В прошлой статье я видел упоминание, что это приложение использовало 800!!! мегабайт. Это получается мне никто не говорит, ничего не сообщает, используют трафик и в нужный момент я могу оказаться «извините, у вас закончился гиг, пополните счет»? Очень здорово, спасибо БургерКинг.
Очень хорошо что у автора этой статьи
параметры HideInput, HideSensitiveViews имеют значение true
Только нигде это не указывается и никто не сидит не мониторит какие же значения приходят. Сейчас true, потом что-то стукнет в голове и будет false, а человек даже об этом не узнает.
Во-вторых, позиция «мы установили у вас дома скрытые камеры, но не беспокойтесь, когда вы голый, наш человек отворачивается» — сама по себе вызывает вопросы к тем людям, кто защищал эту позицию в прошлом посте, ведь «ну надо же как-то тестировать».
И третий пункт не такой критичный, но всё же. В данный момент у меня тариф с 1 гигом трафика мобильного, ибо я либо дома, либо на работе и мне хватает с головой этого гига. В прошлой статье я видел упоминание, что это приложение использовало 800!!! мегабайт. Это получается мне никто не говорит, ничего не сообщает, используют трафик и в нужный момент я могу оказаться «извините, у вас закончился гиг, пополните счет»? Очень здорово, спасибо БургерКинг.
Ну не колбаса, а холодильник. Будет записывать что сожрано ночью, отправлять в магазин чтобы те заказали нужный новый батон колбасы, потому что последние 32 раза как только колбаса заканчивалась ты шел и покупал следующую.
А ты такой бросил есть колбасу, сломал стереотип. И магазин обанкротился.
А ты такой бросил есть колбасу, сломал стереотип. И магазин обанкротился.
К 2024 г. будет маркировка промышленной продукции и продуктов питания. В сочетании с полным переходом на онлайн-кассы, платежи по картам Мир, Большой Брат будет знать кто, когда и сколько колбасы купил.
Вся суть ситуации с защитой пользовательских данных в этом мультике.
Смотреть до конца.
Смотреть до конца.
Достаточно посмотреть название и preview картинку, сразу всё понятно.
в этом мультике.Есть в значительно лучшем качестве.
Самое обидное, что вся эта информация не приводит к улучшения для потребителей. Гугл все также предлагает тебе купить тебе еще одни ботинки а не шнурки если ты искал про ботинки. А тот-же бургер-кинг заставляет сохранять и вводить какие-то скидочные коды, хотя им должно быть достаточно тебя стоящего перед кассой чтобы отобразить твой обычный набор еды и применить все скидки. И так далее.
На начальном этапе своей работы Appsee запрашивает конфигурацию для конкретного приложения с сервера… Можно заметить, что параметры HideInput, HideSensitiveViews имеют значение true, скрывая тем самым важную информацию в видео.Правильно ли понимать, сейчас приложение получает конфигурацию, условно активирующую чёрные полоски, но ранее сервер мог отвечать конфигурацией, разрешающей неприкрытые поля? Или всё-таки в коде самого приложения жёстко всё сконфигурировано?
Сейчас, из панели они могут поменять это поведение. Кончено, это будет нарушение условий использования Appsee. Скриншот из руководства.
Замечательная позиция. «Вот вам удобная опция снимать вообще весь экран включая приватную информацию, но если что, мы вам запрещали ею пользоваться.» Вот теперь можно быть спокойными за свои данные.
C точки зрения Appsee: вот вам автомат, но людей убивать нельзя.
С точки зрения преступника: все равно из чего стрелять.
С точки зрения преступника: все равно из чего стрелять.
Оно так, но нетрудно сделать тот же логгинг без AppSee вообще (собственно, если задаться целью сливать данные карт — даже проще: можно отправлять только нужные данные, а не видео).
За полем «Don't hide any field» скрывается более серьезное нарушение. Если вдруг Burger King включит эту опцию, то это приведет к записи всех данных по кредитной карте, что является нарушением стандартов PCI, если компания не имеет сертификации.
А само нарушение имеет последствия от штрафа в $5-100k в месяц до отключения платежных услуг для этой компании. И BK отлично об этом знает.
Не все так просто. Эта статья на порядок грамотней, чем оригинальная статья, в которой автор так и не залил обещанное видео с доказательством, что поля не замазаны.
А само нарушение имеет последствия от штрафа в $5-100k в месяц до отключения платежных услуг для этой компании. И BK отлично об этом знает.
Не все так просто. Эта статья на порядок грамотней, чем оригинальная статья, в которой автор так и не залил обещанное видео с доказательством, что поля не замазаны.
Удобно иметь такую функцию для тестирования, когда собираются данные не "end users" а какие-то тестовые. Тестовых наборов зачастую больше одного в том числе потому что проверятся могут разные конфигурации. Так что все ок: тестированию не мешают, но предупреждают что нужно не забыть отключить перед релизом.
Не понимаю. Ну в 2018г. должны же понимать, что все за всеми будут следить. Кто-то законно, кто-то — нет. Для того, чтобы этого не происходило, надо отказаться ото всего. И уехать в лес. Без роуминга.
Да пусть собирают все, кроме данных карт. Российские карты слишком просто использовать (даже с ip адресами и выяснением billing адреса не надо морочиться) и никто не вернет тебе украденные таким образом деньги. Понятно, что сам БК не будет таким заниматься, но кто-то украдет у них логи и привет.
Конкретно последние 4 цифры, и expiration year/month, упомянутые в статье не позволят злоумышленнику использовать вашу карту. Более того, такие агрегаторы, как яндекс касса и stripe (и уверен, что и другие тоже) позволяют получить ее и без сбора на телефоне из истории через свое апи. Я в одном из проектов хранил последние 4 цифры и срок истечения, чтобы клиент мог посмотреть, когда и с какой карты он производил оплату, а также чтобы он мог из личного кабинета удалить привязанную карту (по коду карты из платежной системы вида card_1CnQ2B2eZvKYlo2C1TZIjSsz ее не очень удобно выбирать).
Вы лично можете смириться — это ваше право — но есть еще вариант изменить законодательство.
Когда-то трудовые отношения тоже не регулировались и люди работали по 10-12 часов в день, без пенсий, отпускных и оплаты лечения. Использовался в том числе детский труд. К счастью, нашлись люди, которые не смирились с этим, организовали борьбу и добились изменения законодательства.
Когда-то трудовые отношения тоже не регулировались и люди работали по 10-12 часов в день, без пенсий, отпускных и оплаты лечения. Использовался в том числе детский труд. К счастью, нашлись люди, которые не смирились с этим, организовали борьбу и добились изменения законодательства.
Но до сих пор находятся люди, которые под лозунгом «Это <название страны>, здесь не принято защищать свои законные права» ебашат с утра и до отруба под сказки про скорый дедлайн.
Тут можно только процитировать www.temporarilyembarrassedmillionaires.org
> Социализм никогда не пустит свои корни в Америке по причине того, что бедные видят себя тут не эксплуатируемым пролетариатом, а временно бедствующими миллионерами.
Наверно, они тоже себя считают миллионерами.
> Социализм никогда не пустит свои корни в Америке по причине того, что бедные видят себя тут не эксплуатируемым пролетариатом, а временно бедствующими миллионерами.
Наверно, они тоже себя считают миллионерами.
Уже пустил. Как по мне, лучше бы не пускал, потому что к защите прав это имеет весьма отдаленное отношение.
Но дело даже не в этом: GDPR уже есть, только как видно на данном примере он работает как-то не так, как было задумано.
Но дело даже не в этом: GDPR уже есть, только как видно на данном примере он работает как-то не так, как было задумано.
GDPR не защищает права россиян, и к этому примеру он никакого отношения не имеет.
Что касается утверждений «AppSee соответствует GDPR», думаю, под этим понимается внесение каких-то пунктов в договор с разработчиком и добавление опций для скрытия перс данных. То есть опции они предоставили, а дальше с них взятки гладки. Если что-то утечет — это не они виноваты, а не разобравшийся в опциях и не читавший договор разработчик. AppSee вообще библиотека и с пользователем напрямую не взаимодействует.
При этом то, что AppSee «соответствует» GDPR (что бы это не значило) не означает, что использующее его приложение соответствует. Это просто фраза для отвлечения внимания и судя по вашему комментарию, на вас она сработала.
В данном примере, на видео, которое отправляется в AppSee, есть номер телефона, но AppSee всегда может ткнуть в договор и сказать, что это разработчик виноват, что он там плашку не повесил. Это и есть их «соответствие» GDPR.
Что касается утверждений «AppSee соответствует GDPR», думаю, под этим понимается внесение каких-то пунктов в договор с разработчиком и добавление опций для скрытия перс данных. То есть опции они предоставили, а дальше с них взятки гладки. Если что-то утечет — это не они виноваты, а не разобравшийся в опциях и не читавший договор разработчик. AppSee вообще библиотека и с пользователем напрямую не взаимодействует.
При этом то, что AppSee «соответствует» GDPR (что бы это не значило) не означает, что использующее его приложение соответствует. Это просто фраза для отвлечения внимания и судя по вашему комментарию, на вас она сработала.
В данном примере, на видео, которое отправляется в AppSee, есть номер телефона, но AppSee всегда может ткнуть в договор и сказать, что это разработчик виноват, что он там плашку не повесил. Это и есть их «соответствие» GDPR.
UFO just landed and posted this here
UFO just landed and posted this here
Проблема с логами запросов кстати довольно распространенная, сам сталкивался с тем, что таким образом улетала личная информация
скорее всего, не умышленно.Ха-ха три раза. Ну не бывает таких случайностей. Собирают совершенно сознательно и намеренно, потому что «а чо такова? все так делают» и «да кто там разбираться будет?»
Бывает. Часто встречал, когда на сервере в логах всплывали пароли в открытом виде (хотя в базе там хэш), прост при генерации пароля в логи писался оригинальный пароль (вероятно, для дебага изначально так было сделано). Оправдывались тем, что «с сервера логи не могут утечь».
Но мы-то знаем.
По-моему, что-то похожее недавно в твиттере было, когда у них пароли плейн текстом уходили в интернал логи.
Но мы-то знаем.
По-моему, что-то похожее недавно в твиттере было, когда у них пароли плейн текстом уходили в интернал логи.
А в приложении БК можно вводить данные карты с помощью камеры? И пишется ли при этом видео?
UFO just landed and posted this here
Претензия в исходной статье было про тайную видеозапись экрана пользователя. Можно же вместо этого при запуске приложения спросить разрешение на видеозапись и тогда она перестанет быть тайной и люди будут добровольно делиться ей с вами. Почему они так не делают?
Я работаю в сфере разработки ПО и прекрасно знаю про слежку. Компании почти всегда стремятся ее не афишировать, и вести в максимально возможных пределах. Они не хотят быть честными с потребителем, они хотят его обмануть. Сюда же относятся кстати усложненные интерфейсы, поставленные галочки и ежемесячные списания, которые легко включить, но зачастую сложно отключить.
И посмотрите на комментарий компании, который всеми силами пытается запутать непосвященного человека: tass.ru/ekonomika/5368255
Максимально размытые формулировки и отвлечение внимания (пассажем про «защищенную Яндекс кассу», которая к проблеме отношения не имеет) говорят нам о том, что проблема есть.
Это же феноменальное вранье. Получается, что они отсылают видеозапись на сервер и там она отправляется в /dev/null что ли? Или они считают видеозапись не «данными о поведении пользователей»?
Ага, закодированы в формат MPEG.
А под «обезличены» они видимо имеют в виду, что они передают не ФИО пользователя, а «обезличенный» appUserId (первый скриншот в исходной статье), по которому — мамой клянус — никак не определить данные пользователя.
Как же возмутительно. Я сам работаю в индустрии разработки ПО и прекрасно знаю ее изнутри, но если это прочтет обычный человек, то у него создастся ровно противоположное впечатление, что все в порядке.
Я работаю в сфере разработки ПО и прекрасно знаю про слежку. Компании почти всегда стремятся ее не афишировать, и вести в максимально возможных пределах. Они не хотят быть честными с потребителем, они хотят его обмануть. Сюда же относятся кстати усложненные интерфейсы, поставленные галочки и ежемесячные списания, которые легко включить, но зачастую сложно отключить.
И посмотрите на комментарий компании, который всеми силами пытается запутать непосвященного человека: tass.ru/ekonomika/5368255
Максимально размытые формулировки и отвлечение внимания (пассажем про «защищенную Яндекс кассу», которая к проблеме отношения не имеет) говорят нам о том, что проблема есть.
Данные о поведении пользователей в приложении не содержат информации о банковских картах и не хранятся на сервере
не хранятся на сервере
Это же феноменальное вранье. Получается, что они отсылают видеозапись на сервер и там она отправляется в /dev/null что ли? Или они считают видеозапись не «данными о поведении пользователей»?
все данные обезличены и закодированы.
Ага, закодированы в формат MPEG.
более того, ни мы, ни специалисты AppSee не видят персональных данных (они приходят на сервер в обезличенном виде) ", — пояснили в компании.
А под «обезличены» они видимо имеют в виду, что они передают не ФИО пользователя, а «обезличенный» appUserId (первый скриншот в исходной статье), по которому — мамой клянус — никак не определить данные пользователя.
Как же возмутительно. Я сам работаю в индустрии разработки ПО и прекрасно знаю ее изнутри, но если это прочтет обычный человек, то у него создастся ровно противоположное впечатление, что все в порядке.
Претензия в исходной статье было про тайную видеозапись экрана пользователя
Вот меня тоже интересует, почему все бросились проверять, закрываются там ПД в видео, или не закрываются. Какая разница то, если они всегда могут эту опцию отключить? Начали уже обвинять автора оригинальной статьи во всех грехах, при этом то, что БК очень неубедительно «отмазался», в том числе ссылаясь на соответствие GDPR (какое он вообще имеет отношение к России то?) — это как-то никого не удивило. Да и сам факт записи на экранах ввода ПД почему-то тоже никого не удивил.
В данный момент и при данном конкретном законодательстве, устанавливать приложение, которое требует доступа к ресурсам, нужность которых сомнительна для его функционирования, не стоит.
В этом вопросе разумно исходить из презумпции вины мобильного софтодела.
В этом вопросе разумно исходить из презумпции вины мобильного софтодела.
Странно, что Apple позволяет делать такое в приложении. Ладно, с полями ввода разобрались — они не пишутся. Но, например, end-to-end шифрование в мессенджерах ничего не значит само по себе, если можно просто писать видео с экрана пользователей. Это не должно быть нормой.
Какой-то анализ PR отдела burgerking. Сравнить с вебвизором можно, но с таким же успехом, как сравнить спортивную машину с обыкновенной. Вебвизор не изображения сохраняет, а перемещения курсора по экрану и скролл. А тут видюха пишется. :-)
На примере видео www.youtube.com/watch?v=Korqhksw7xw можно различить номер телефона и имя. Вот так защита персданных.
Причем, что интересно, они без ввода телефона, как я понял, даже не дают зайти в приложение, посмотреть каталог.
Причем, что интересно, они без ввода телефона, как я понял, даже не дают зайти в приложение, посмотреть каталог.
UFO just landed and posted this here
Тем самым все же, собирая некоторую информацию о картах, в частности 4 последние цифры карты, месяц и год окончания действия карты
Что соответствует требованиям стандартов PCI, который разрешает хранить первые 6 и последние 4 цифры с номера карты без дополнительной сертификации.
Это я к тому, что Burger King хранит sensitive данные в соответствие с общепринятыми стандартами.
> Не сохраняются на наших серверах
Ха. Ха-ха. Как показывает практика, эта фраза значит ровным счётом ничего.
Ха. Ха-ха. Как показывает практика, эта фраза значит ровным счётом ничего.
В соседней теме человек привел комментарий про ресторан и человека, который будет стоять за плечом и фиксировать ваши действия по изучению меню/приему пиши и т.д. Жаль не могу ему плюсануть.
Про то, что поля скрываются, писали не однократно, но кто знает, что этот параметр всегда true?!
И напоследок. Достаточно знать номер карты, чтобы «ободрать» человека. Есть такая штука, как безчарджевые платежи. Пример из жизни: девушка знакомого дала объявление в авито и указала свой телефон контактным. Ей позвонили и предложили перевести задаток на карту(сами понимаем кого). Она дала номер карты моего знакомого. Естественно, по обычной схеме поступило смс с кодом доступа в мобильный банк, а девушке звонил покупатель и просил продиктовать код, на что получил отказ. Через 10 минут посыпались смс от банка с текстом о списание по 469.82 рублей. Знакомый о реагировал быстро, зашел в приложение банка и заблокировал карту. Прошло 4 списания, еще 5 были не удачными. Так же пришло смс. На вопрос мне, как это могло произойти, я сказал, да вот так.
Это я все к чему: если бы вы только знали, сколько всего в мире кардинга, то даже самые ярые защитники сейчас бы брызжели слюной от этой новости, по такой аналитике. В современном мире приватность данных должна сохраняться, а если она каким либо способом подвигается, то об этом стоит информировать. И точка!
Про то, что поля скрываются, писали не однократно, но кто знает, что этот параметр всегда true?!
И напоследок. Достаточно знать номер карты, чтобы «ободрать» человека. Есть такая штука, как безчарджевые платежи. Пример из жизни: девушка знакомого дала объявление в авито и указала свой телефон контактным. Ей позвонили и предложили перевести задаток на карту(сами понимаем кого). Она дала номер карты моего знакомого. Естественно, по обычной схеме поступило смс с кодом доступа в мобильный банк, а девушке звонил покупатель и просил продиктовать код, на что получил отказ. Через 10 минут посыпались смс от банка с текстом о списание по 469.82 рублей. Знакомый о реагировал быстро, зашел в приложение банка и заблокировал карту. Прошло 4 списания, еще 5 были не удачными. Так же пришло смс. На вопрос мне, как это могло произойти, я сказал, да вот так.
Это я все к чему: если бы вы только знали, сколько всего в мире кардинга, то даже самые ярые защитники сейчас бы брызжели слюной от этой новости, по такой аналитике. В современном мире приватность данных должна сохраняться, а если она каким либо способом подвигается, то об этом стоит информировать. И точка!
Меня печалит больше всего тот факт, что в большинстве банков нельзя через интернет-банкинг, звонок в колл-центр или даже личный визит заблокировать интернет-списания.
Всеми в интернете ненавистный банк с желтым значком, как раз позволяет отключить интернет платежи… я все операции в интернете провожу с помощью виртуальной карты, которую выписывает банк за минуту, и на этой карте деньги бывают крайне редко и только для текущей покупки)
Вы у Тинькофф создаёте виртуальную карту? Сколько жду эту функцию у них, но мне говорят что она пока недоступна
Сколько жду эту функцию у них, но мне говорят что она пока недоступнаА у кого вы это спрашиваете? У меня в ЛК она вообще изначально сама была в списке карт. Хотя, на сайте, почему-то, новость об этом за апрель этого года висит. Может, вы что-то другое под «виртуальной картой» понимаете?
Ну вообще спрашивал об этом у dmluter. Мне показалось что он имеет ввиду виртуальную карту Тинькофф банка, которую я не могу оформить уже не первый год.
Нет, я про виртуальную карту и имел ввиду. У моего друга, когда он открывал Тинькофф в апреле вроде, она тоже автоматом появилась, и с тех пор не ушла. Но создать я её НЕ могу. Сейчас позвонил в банк, сказали что отключили возможность создавать виртуальные карты, и что скорее всего не будут её возобновлять. Предложили открыть реальную карту, которая привяжется к тому же счёту, и управлять лимитом карты, что по мне не слишком удобно.
А вот у тех, у кого она была создана, им не отключили.
Может, вы что-то другое под «виртуальной картой» понимаете?
Нет, я про виртуальную карту и имел ввиду. У моего друга, когда он открывал Тинькофф в апреле вроде, она тоже автоматом появилась, и с тех пор не ушла. Но создать я её НЕ могу. Сейчас позвонил в банк, сказали что отключили возможность создавать виртуальные карты, и что скорее всего не будут её возобновлять. Предложили открыть реальную карту, которая привяжется к тому же счёту, и управлять лимитом карты, что по мне не слишком удобно.
А вот у тех, у кого она была создана, им не отключили.
UFO just landed and posted this here
Видеозапись идет почти в каждом общественном месте… Особенно на кассах супермаркета кассовая зона снимается крупным планом, но почему-то это никого не парит…
Потому что при входе есть уведомления, и все об этом знают. В публичном месте может быть все. А вы не пробывали звать окружающих, когда берете телефон и начинаете им пользоваться? Может я утрирую, но поверьте, не из плохих побуждений.
UFO just landed and posted this here
Не парит, потому, что на кассе обычно еще не жуют то, что покупают :)
А как это связано с обсуждаемой темой увода данных карты? Список ваших покупок на кассе супермаркета виден хорошо…
Это был, разумеется, шуточный ответ, Вам и предыдущему автору, на тему подглядывания за жующим стейк. Но Вы, вероятно догадались об этом.
Чтоб вернуться в лоно темы, есть, к примеру, софт для астрофотографов, который на базе серии фото способен поднять разрешение, вполне качественно. То есть из серии снимков карты издалека, например видео, вполне можно попробовать восстановить её данные.
Есть тут те, кто таким пользовался?
Чтоб вернуться в лоно темы, есть, к примеру, софт для астрофотографов, который на базе серии фото способен поднять разрешение, вполне качественно. То есть из серии снимков карты издалека, например видео, вполне можно попробовать восстановить её данные.
Есть тут те, кто таким пользовался?
Хмм, habr.com/post/252177 там же шутка про CSI meme
Для карт не пользовался, для астрофото это очень даже работает, деталей из видео можно получить существенно больше, чем из единичной фото… Собственно, большинство любительский фотографий планет или дип спейса это обработка серии снимков, но с картой будут сложности… Т.к. она скорее всего будет вращаться в пространстве…
Справедливости ради, увод данных карты это наименьшая проблема, так как карта элементарно перевыпускается. А вот увод персональных данных вроде номера телефона, адреса жительства или ФИО гораздо тяжелее исправить — вряд ли вы будете менять номер телефона и обзванивать всех знакомых, а тем более имя.
Потому надо меньше беспокоиться о данных карты и больше о персональных данных.
Потому надо меньше беспокоиться о данных карты и больше о персональных данных.
Сказки какие-то как минимум нужно знать ещё срок окончания карты… Иначе можно тупо перебором карты перебирать…
Недостающую информацию можно узнать за ~500р в течении 5 минут, если сервис по пробиву на связи. Сказки для Вас, потому что вы живете в своем «сказочном» мире, где пока не столкнулись с чем-то таким. Есть большое множество ресурсов, которых вы не найдете в поисковике. И я не говорю сейчас об .onion. И даже если где то будет упомянут домен, вы ничего не увидите. Только зайдя по ссылке вида домен.кто/какая_то_ссылка/ вы увидите форму входа. Никакой регистрации, ничего другого. Просто форма входа. А за ней столько всего интересного, что глаза на лоб лезут.
Если вы с этим не сталкивались, это не значит что это «сказки»
Если вы с этим не сталкивались, это не значит что это «сказки»
Давайте я вам дам номер карты, а вы мне пришлете остальные данные… раз их так легко узнать, ну а я вам даже 1000 р перечислю) Но скорее всего вы даже фамилию мою не узнаете… Опять же деньги можно увести без CVV пожалуй только через Амазаон, а вернуть деньги с Амазона не сложно, плюс можно попробовать узнать адрес на который ушла посылка… Ну и вообще совет… Не держать на карте много денег… сейчас перекинуть деньги со счета на счет дело нескольких секунд…
То есть ты стоишь в бургере, подключаешься к приложению
И вдруг, у тебя мгновенно начинает сжираться траффик мобильного интернета, батарея, процессор греется на максимум, забивается память, батарея вот вот взорвется от перенапряга что надо держать одновременно интернет, приложения, включенный экран, да еще и процессор на запись видео.
Ни у кого батарея не взрывалась в бургеркинге? )))
И вдруг, у тебя мгновенно начинает сжираться траффик мобильного интернета, батарея, процессор греется на максимум, забивается память, батарея вот вот взорвется от перенапряга что надо держать одновременно интернет, приложения, включенный экран, да еще и процессор на запись видео.
Ни у кого батарея не взрывалась в бургеркинге? )))
В отрыве от срача по поводу ПД — это тоже важный момент. Если приложение тратит мой трафик, загружает процессор и жрет батарею просто потому что кому-то там интересно исследовать мои действия на предмет оптимизации интерфейса, я бы хотел об этом как минимум знать. Достаточно простого запроса при первом запуске из серии «Помогите нам стать лучше» с понятным описанием даже для не опытного пользователя и соответствующую опцию в настройках для последующего отключения. Если отключение не предусмотрено (не пользовался этим приложением), то вариант «не нравится — не используй» это по-свински.
Не соглашусь с текстом. Нужно писать так: внимание!!! Мы записываем видео экрана(жирным красным текстом) когда вы используете приложение, чтобы улучшать его. Чтобы отказаться, нажмите «не хочу». А то, опять можно будет где то спрятать текст в уведомлении при первом запуске, с каким то описанием и мелким штрифтом, которое вызывается однажды и мы больше о нем не вспомним, но там нас предупреждали. Это уже совсем другая история.
У меня одного видео кажет 144р? Уже почти забыл, что ютуб может быть в настолько низком разрешении.
Я столкнулся с невероятным трафиком в этом приложении еще в апреле, в фоне по мобильной сети передалось 910 мб, в следующем месяце 302. Их метрика действительно может записывать только внутри приложения?
Пользуюсь мобильным приложением от Burger King на Android 6.0.1 Galaxy S5 (не рутованный)
До недавнего времени было удобно.
Подключил туда бонусную карту и теперь не надо таскать ее с собой.
Но за последние 2 недели пошли странные глюки:
— Из профиля исчезла моя ранее добавленная карта.
— Добавить карту (пробовал Сбер и Тинькоф) по новой не дает: списывает один рубль, долго тупит (видимо возвращает), и после говорит что ничего не получилось, мол карта не добавлена
Спрашивается — почему нельзя добавлять карту на этапе оформления заказа? Тогда можно не делать такую странную процедуру со снятием и возвратом 1 рубля.
Идем дальше, заказать очень хотел (была акция, угадай счет по футболу Россия-Хорватия добавив в заказ Nе число соусов = количеству голов сделанных Россией), и через сайт смог пополнить бонусную карту.
Через неделю проверяю, — огонь, выиграл по акции бургер за рубль,… но приложение удалило мою бонусную карту… Супер.
Написал в поддержку. Сейчас прежде чем писать текст, зашел в приложении проверить — бонусная вернулась, а вот карту добавить не могу.
Все бы ничего, но плюс приложения был в том, что заказал когда свободен, пока идешь к выдаче, уже готово, забрал — и ушел. Плюс акции разные выгодные… А тут или диверсия какая, или что похуже.
А читая что еще есть и видеоаналитика — вообще не понятно как приложение может иметь такие глюки? Не единственный же я
Особенно интересно наблюдать при старте инфу, что ура, мы все починили, и глюк с исчезновением карт пофиксен. И всего одна кнопка — ОК, все круто!
Так вот… нифига.
До недавнего времени было удобно.
Подключил туда бонусную карту и теперь не надо таскать ее с собой.
Но за последние 2 недели пошли странные глюки:
— Из профиля исчезла моя ранее добавленная карта.
— Добавить карту (пробовал Сбер и Тинькоф) по новой не дает: списывает один рубль, долго тупит (видимо возвращает), и после говорит что ничего не получилось, мол карта не добавлена
Спрашивается — почему нельзя добавлять карту на этапе оформления заказа? Тогда можно не делать такую странную процедуру со снятием и возвратом 1 рубля.
Идем дальше, заказать очень хотел (была акция, угадай счет по футболу Россия-Хорватия добавив в заказ Nе число соусов = количеству голов сделанных Россией), и через сайт смог пополнить бонусную карту.
Через неделю проверяю, — огонь, выиграл по акции бургер за рубль,… но приложение удалило мою бонусную карту… Супер.
Написал в поддержку. Сейчас прежде чем писать текст, зашел в приложении проверить — бонусная вернулась, а вот карту добавить не могу.
Все бы ничего, но плюс приложения был в том, что заказал когда свободен, пока идешь к выдаче, уже готово, забрал — и ушел. Плюс акции разные выгодные… А тут или диверсия какая, или что похуже.
А читая что еще есть и видеоаналитика — вообще не понятно как приложение может иметь такие глюки? Не единственный же я
Особенно интересно наблюдать при старте инфу, что ура, мы все починили, и глюк с исчезновением карт пофиксен. И всего одна кнопка — ОК, все круто!
Так вот… нифига.
arabesc mitmproxy отлично подходит для прослушивания трафика. Насколько я понял разработчики отключили запись аналитики в своем приложении, тем самым осложнив возможность проверки. Из имеющхся данных удалось собрать аддон для mitmproxy эмулирующий ответы от сервера Appsee, заставляя приложение вести запись видео. Запись отправляется не каждый раз, видимо моя симуляция не особо точная, но одно видео без черных полос при наборе номера удалось записать.
Мои наработки: github.com/oncecreated/appsee_watcher
Собственно аддон подменяет конфиг на находящийся в папке и автоматически сохраняет отправляемые видео и метаданные.
Мои наработки: github.com/oncecreated/appsee_watcher
Собственно аддон подменяет конфиг на находящийся в папке и автоматически сохраняет отправляемые видео и метаданные.
Т.е. приложение не проверяет достоверность сертификатов при соединении и верит всем подряд, https там свою задачу не отрабатывает?
Таким образом, любой злонамеренный владелец публичной wi-fi точки доступа может получить полную нецензурированную аналитику от всех приложений, использующих Appsee. Удобно.
Таким образом, любой злонамеренный владелец публичной wi-fi точки доступа может получить полную нецензурированную аналитику от всех приложений, использующих Appsee. Удобно.
Нет, немного не так, у mitmproxy есть возможность установки на устройство корневого сертификата, и только после его установки можно прослушивать HTTPS трафик приложения Burger King, без установки сделать это невозможно. Eдинственное для повышения безопасности своего приложения разработчики могли бы использовать SSL Pinning, это техника проверки сертификата, с использованием отпечатка зашитого в код приложения. В этом случае даже корневой сертификат не помог бы в просмотре трафика и для его прослушки пришлось бы модифицировать код самого приложения.
Я не понимаю этих оправданий: "всего 10% пользователей", "закрывают поля с номером карты", "все так делают" и тд.
Человек установил маленький апп, чтобы покупать бутерброды со скидкой. Он не подписывался на тестирование ваших багов, он не собирался становиться стримером, и не хочет зависеть от порядочности незнакомых ему людей (себя это 10%, завтра это 100%, сегодня поставили черные полоски, завтра забыли, а потом еще и продали данные о вашем поведении каким-то продавцам трусов). Очень простой тест — ответьте сами будет ли человек устанавливать этот апп если узнает детали "дебаггинга", если нет, и вам приходится прятаться за витиеватыми формулировками — вы подлецы, и сами это понимаете. Представьте себе что слесарь отремонтировал вам кран и заодно установил набора скрытых камер. А когда вы из нашли, объясняет что это он для того чтобы узнать когда прокладки пора менять, а ваши пиписьки он квадратиками закрывает
Особенно бесит что от этой слежки нет никакой пользы клиенту. Гребаный апп раздает купоны на бургеры, что там за дебаггинг такой что надо записывать каждого 10 клиента на видео??? Очевидно же что они пытаются найти способ монетизировать близость к клиенту, большие данные все такое. А клиенту это надо?
Решил проверить прикол с сахаром в Перекрестке...)))
Сижу и разговариваю сам с собой о том что надо бы купить сахар в Перекрестке…
О результате доложу…
Если не доложу, значит в психушке...))))))))
Сижу и разговариваю сам с собой о том что надо бы купить сахар в Перекрестке…
О результате доложу…
Если не доложу, значит в психушке...))))))))
Надо фронталку заклеить на всякий.
Sign up to leave a comment.
Разбираемся, что записывает, а что не записывает приложение Burger King