Comment Truecaller parcourt votre boîte de réception SMS pour voir si vous avez besoin d'un prêt

Juste après l'annonce d'un bogue récent dans l'application Truecaller, un développeur de logiciels du nom de "Nemo" sur Twitter a découvert un autre problème de confidentialité dans l'application d'identification de l'appelant et de paiement basée en Suède.

Selon Nemo, Truecaller utilise des kits de développement logiciel (SDK) tiers pour analyser les messages téléphoniques de ses utilisateurs afin d'effectuer une évaluation de crédit hors ligne pour chaque utilisateur. Les mots ou expressions spécifiques que ces SDK recherchent dans les messages de l'utilisateur comprennent 356 termes tels que salaire, crédit, débit, rebond, chèque, prime, assurance, ainsi que des noms de détaillants tels que dependence fresh, metro cash and carry, grofers, uber, irctc, Indigo, Airbnb entre autres.

En outre, il suit également des phrases spécifiques telles que "Vous êtes éligible pour une carte EMI avec une limite de Rs.", "Le montant total du prêt sur votre carte Bajaj EMI est mis à niveau vers", Votre numéro de carte EMI (\\S *) a été livré.', 'Cher client, Première EMI due le', 'Merci pour votre paiement', 'Votre prime de Rs.' et bien plus encore, mais vous obtenez la dérive.

(En image : Captures d'écran de certaines phrases recherchées par Truecaller dans les messages des utilisateurs, partagées par Nemo)

Nemo a déclaré à Inc42 : "La FAQ Truecaller indique clairement que pour vérifier son éligibilité, un utilisateur doit simplement regarder sous l'onglet bancaire de l'application Truecaller et afin de déterminer l'éligibilité au crédit de quelqu'un, Truecaller doit noter tous ses utilisateurs."

Cependant, en réponse à notre requête, Truecaller a déclaré : « Pour les prêts, nous demandons explicitement aux utilisateurs qui souhaitent demander un prêt, de nous donner la permission d'analyser leurs messages de transaction (uniquement). Le processus est entièrement basé sur le consentement et est distinct de l'autorisation SMS générale qui est requise au moment de la connexion pour fournir une détection de spam dans la boîte de réception SMS.

La société a en outre précisé que toutes ses données d'utilisateur sont collectées conformément aux conditions d'utilisation et à la politique de confidentialité de la société et stockées sous une forme et d'une manière sécurisées, notamment via des protocoles de cryptage appropriés.

Fait intéressant, la politique de confidentialité de l'entreprise indique que Truecaller collecte des mots-clés et des métadonnées des appels et des messages entrants et sortants.Les deux entités fournissant ces SDK à Truecaller incluent l'outil SaaS de profilage client, MessAI et l'application de gestion de patrimoine Walnut appartenant à CapitalFloat. Commentant cela, Amit Bhor, fondateur de l'application de gestion de patrimoine Walnut et CPO de CapitalFloat, a déclaré que « Walnut SDK est utilisé indépendamment par l'application Truecaller en fonction de ses propres politiques et contrôles de confidentialité. Walnut n'a accès à ces données que si le client consent à ce que les données soient partagées.

"Nous n'étions impliqués qu'en tant que fournisseur de services technologiques dans cet accord et avons actuellement abandonné le modèle SDK et aucune autre application n'utilise ce SDK." il ajouta.

L'étrange cas de MessAI

Derrière l'espionnage de Truecaller semble être une société appelée MessAI, qui prétend avoir été acquise par Truecaller en avril 2019. Fait intéressant, Nemo a affirmé que cette mise à jour sur le site Web de MessAI n'a été publiée qu'aujourd'hui, à la suite de son tweetstorm du 31 juillet.

Recommandé pour vous:

Ressources

Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde

Amit Das

31 juillet 2022

Nouvelles

Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...

Jaspreet K.

31 juillet 2022

Ressources

Comment Metaverse va transformer l'industrie automobile indienne

Vaibhav S.

31 juillet 2022

Ressources

Que signifie la disposition anti-profit pour les startups indiennes ?

Charana L.

31 juillet 2022

Ressources

Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...

Ankush S.

31 juillet 2022

Nouvelles

Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...

Tapanjana R.

31 juillet 2022

Truecaller a confirmé à Inc42 que MessAI est une technologie interne à Truecaller après avoir acquis la startup en avril 2019, ce qui comprenait l'acquisition de son équipe et de sa technologie.

"L'équipe MessAI s'efforce de fournir des fonctionnalités améliorées telles que les notifications intelligentes et une expérience de communication transparente aux utilisateurs de nos applications", a ajouté la société suédoise.

Enregistré sous le nom de TwelfthMile Creations, MessAI, basé à Bengaluru, est un outil SaaS qui a permis aux fournisseurs d'applications mobiles et de sites Web de profiler leurs utilisateurs finaux qui téléchargent, accèdent et interagissent avec les services des fournisseurs d'applications.

Les politiques de confidentialité des entreprises s'engagent à collecter les informations des utilisateurs relatives à leurs transactions, y compris l'identité du service ou du produit qu'ils paient et le montant d'argent qu'ils ont payé. En outre, il enregistre également les numéros de téléphone portable, les noms, les données partielles de carte de paiement, les renouvellements d'abonnement et les messages de confirmation de commande des utilisateurs.

Fait intéressant, l'application a également accepté de partager ses informations agrégées et ses informations non identifiantes avec des tiers à des fins d'analyse du secteur, de profilage démographique et à d'autres fins similaires. Mais prétend ne vendre aucune information personnelle des utilisateurs à des tiers.

L'Inde est le plus grand marché de Truecaller

Dans un article de blog officiel publié le 20 février dernier, la société a annoncé avoir 100 millions d'utilisateurs actifs quotidiens en Inde. Il a également déclaré qu'un utilisateur actif sur dix en Inde avait lié son compte bancaire à Truecaller Pay.

"Nous continuerons à nous développer sur le marché indien et à intégrer davantage de services pour créer une plate-forme de communication unifiée robuste et simplifier la vie de nos utilisateurs", a noté Alan Mamedi, PDG et cofondateur de Truecaller.

Fondée en 2009 par Alan Mamedi et Nami Zarringhalam, Truecaller a lancé son Truecaller Pay basé sur UPI en 2017 en partenariat avec ICICI Bank. L'application permet aux utilisateurs de créer instantanément un identifiant UPI et de transférer de l'argent vers n'importe quel identifiant UPI ou un numéro de téléphone mobile enregistré avec l'application BHIM. Il permet également aux utilisateurs de recharger leur numéro de mobile à partir de l'application Truecaller elle-même.

Plus tard en 2018, la société a également acquis une société de paiement indienne Chillr pour renforcer ses activités de paiement dans le pays. Suite à cela en mars, la société a annoncé son intention d'entrer également dans le secteur des prêts en Inde.

Selon Truecaller, le montant du prêt offert par la société varie entre INR 1 lakh et INR 5 lakh. Le montant réel auquel vous avez droit sera affiché dans l'application. Initialement, les services de prêt sont disponibles dans 22 villes en Inde et sont actuellement au stade pilote selon Truecaller.

"Afin de se conformer aux règles d'authentification des utilisateurs, la société s'appuiera initialement sur des processus physiques d'authentification car il existe encore une confusion sur le processus électronique KYC et ses alternatives", avait déclaré la société plus tôt.

Préoccupations concernant la confidentialité des données

Alors que le secteur fintech de l'Inde apparaît comme une opportunité prometteuse d'un billion de dollars, les préoccupations concernant la confidentialité des données sont également devenues une dure réalité d'aujourd'hui. Suite au récent bogue dans la mise à jour de l'application Truecaller, deux autres startups fintech - Chqbook et Credit Fair auraient subi une violation de données, plus tôt cette semaine.

Cette violation aurait exposé des millions de données d'utilisateurs au risque d'être utilisées de diverses manières nuisibles et illégales, notamment la prise de contrôle de compte, l'usurpation d'identité, le phishing, le chantage et même l'extorsion.

L' Inde a été signalée comme le deuxième pays le plus touché par les cyberattaques entre 2016 et 2018. Le coût moyen d'une violation de données en Inde a augmenté de 7,9 % depuis 2017, le coût moyen par enregistrement violé s'élevant à 4 552 INR (64 $).