Jak Truecaller przechodzi przez skrzynkę odbiorczą SMS-ów, aby sprawdzić, czy potrzebujesz pożyczki?

Zaraz po wiadomości o niedawnym błędzie w aplikacji Truecaller, twórca oprogramowania działający pod nazwą „Nemo” na Twitterze, odkrył kolejny problem dotyczący prywatności w szwedzkiej aplikacji do identyfikacji rozmówców i płatności.

Według Nemo, Truecaller korzysta z zestawów SDK (Software Development Kits) innych firm do analizowania wiadomości telefonicznych swoich użytkowników w celu oceny kredytowej offline dla każdego użytkownika. Konkretne słowa lub wyrażenia, których te pakiety SDK wyszukują w wiadomościach użytkownika, obejmują 356 terminów, takich jak wynagrodzenie, kredyt, obciążenie, zwrot, czek, składka, ubezpieczenie, a także nazwy sprzedawców, takie jak: Reliance Fresh, Metro cash and carry, grofers, uber, irctc, Indigo, między innymi Airbnb.

Ponadto śledzi również określone wyrażenia, takie jak „Masz prawo do karty EMI z limitem Rs.”, „Całkowita kwota kredytu na Twojej karcie Bajaj EMI została podwyższona do”, Numer Twojej karty EMI (\\S*) ma została dostarczona. ”, „Drogi Kliencie, Pierwsze EMI należy zapłacić”, „Dziękujemy za płatność”, „Twoja składka w wysokości Rs.” i wiele więcej, ale masz dryf.

(Na zdjęciu: zrzuty ekranu niektórych fraz wyszukiwanych przez Truecaller w wiadomościach użytkowników, udostępniane przez Nemo)

Nemo powiedział Inc42 : „Najczęściej zadawane pytania Truecaller wyraźnie stwierdzają, że w celu sprawdzenia uprawnień, użytkownik musi po prostu zajrzeć do zakładki bankowej aplikacji Truecaller i aby określić czyjeś uprawnienia kredytowe, Truecaller musi oceniać wszystkich swoich użytkowników”.

Jednak w odpowiedzi na nasze zapytanie Truecaller powiedział: „ W przypadku pożyczek wyraźnie prosimy użytkowników, którzy chcą ubiegać się o pożyczkę, o udzielenie nam pozwolenia na analizę ich wiadomości transakcyjnych (tylko). Proces jest całkowicie oparty na zgodzie i jest oddzielony od ogólnego uprawnienia SMS, które jest wymagane w momencie logowania, aby zapewnić wykrywanie spamu w skrzynce odbiorczej SMS.”

Firma wyjaśniła dalej, że wszystkie jej dane użytkowników są gromadzone zgodnie z Warunkami świadczenia usług i Polityką prywatności firmy i przechowywane w bezpiecznej formie i sposób, w tym za pomocą odpowiednich protokołów szyfrowania.

Co ciekawe, w polityce prywatności firmy zauważono, że Truecaller zbiera słowa kluczowe i metadane połączeń i wiadomości przychodzących i wychodzących.Dwa podmioty, które dostarczają te pakiety SDK do Truecaller, to narzędzie SaaS do profilowania klientów, MessAI i aplikacja do zarządzania majątkiem, której właścicielem jest CapitalFloat, Walnut. Komentując to, Amit Bhor, założyciel aplikacji do zarządzania majątkiem Walnut i CPO CapitalFloat, powiedział, że „ Orzech SDK jest używany niezależnie przez aplikację Truecaller w oparciu o własną politykę prywatności i kontrolę. Orzech nie uzyskuje dostępu do tych danych, chyba że klient wyrazi zgodę na udostępnianie danych.”

„Byliśmy zaangażowani tylko jako dostawca usług technologicznych w tę umowę i obecnie wycofaliśmy model SDK i żadne inne aplikacje nie korzystają z tego SDK”. on dodał.

Ciekawy przypadek MessAI

Wydaje się, że za szpiegowaniem Truecallera stoi firma o nazwie MessAI, która twierdzi, że została przejęta przez Truecaller w kwietniu 2019 r. Co ciekawe, Nemo twierdził, że ta aktualizacja na stronie internetowej MessAI została opublikowana dopiero dzisiaj, po jego burzy na Twitterze z 31 lipca.

Polecany dla Ciebie:

Zasoby

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach

Amit Das

31 lipca 2022

Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jaspreet K.

31 lipca 2022

Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Vaibhav S.

31 lipca 2022

Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

Charanya L.

31 lipca 2022

Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Ankusz S.

31 lipca 2022

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Tapanjana R.

31 lipca 2022

Truecaller potwierdził Inc42 , że MessAI jest wewnętrzną technologią Truecaller po przejęciu startupu w kwietniu 2019 r., co obejmowało przejęcie zarówno jego zespołu, jak i technologii.

„Zespół MessAI pracuje nad zapewnieniem ulepszonych funkcji, takich jak inteligentne powiadomienia i bezproblemową komunikację dla użytkowników naszej aplikacji” – dodała szwedzka firma.

Zarejestrowany jako TwelfthMile Creations, MessAI z siedzibą w Bengaluru to narzędzie SaaS, które umożliwia dostawcom aplikacji mobilnych i witryn profilowanie użytkowników końcowych, którzy pobierają, uzyskują dostęp i wchodzą w interakcję z usługami dostawców aplikacji.

Polityka prywatności firmy zgadza się na zbieranie informacji o użytkownikach związanych z ich transakcjami, w tym tożsamości usługi lub produktu, za który płacą, oraz kwoty wpłaconych przez nich pieniędzy. Ponadto rejestruje również numery telefonów komórkowych użytkowników, nazwiska, częściowe dane kart płatniczych, odnowienia subskrypcji i wiadomości z potwierdzeniem zamówienia.

Co ciekawe, aplikacja zgodziła się również udostępniać swoje zagregowane informacje i informacje nieidentyfikujące stronom trzecim w celu analizy branżowej, profilowania demograficznego i innych podobnych celów. Ale twierdzi, że nie sprzedaje żadnych danych osobowych użytkowników stronom trzecim.

Indie to największy rynek Truecaller

W oficjalnym poście na blogu opublikowanym niedawno 20 lutego firma ogłosiła, że ​​ma 100 milionów aktywnych użytkowników dziennie w Indiach. Powiedział również, że co dziesiąty aktywny użytkownik w Indiach połączył swoje konto bankowe z Truecaller Pay.

„Będziemy nadal rozwijać się na rynku indyjskim i integrować więcej usług, aby stworzyć solidną, ujednoliconą platformę komunikacyjną i uprościć życie naszych użytkowników”, zauważył Alan Mamedi, dyrektor generalny i współzałożyciel Truecaller.

Założona w 2009 r. przez Alana Mamedi i Nami Zarringhalam, Truecaller uruchomiła w 2017 r. Truecaller Pay opartą na UPI we współpracy z ICICI Bank. Aplikacja pozwala użytkownikom natychmiast utworzyć identyfikator UPI i przelać pieniądze na dowolny identyfikator UPI lub numer telefonu komórkowego zarejestrowany w aplikacji BHIM. Umożliwia także użytkownikom doładowanie numeru telefonu komórkowego z samej aplikacji Truecaller.

Później w 2018 roku firma przejęła również indyjską firmę płatniczą Chillr, aby wzmocnić swoją działalność płatniczą w tym kraju. W ślad za tym w marcu firma ogłosiła plany wejścia również w sektor pożyczkowy w Indiach.

Według Truecaller, kwota pożyczki oferowana przez firmę waha się od 1 INR do 5 INR. Rzeczywista kwota, do której jesteś uprawniony, zostanie wyświetlona w aplikacji. Początkowo usługi pożyczkowe są dostępne w 22 miastach w Indiach i są obecnie w fazie pilotażowej według Truecaller.

„Aby zachować zgodność z zasadami uwierzytelniania użytkowników, firma początkowo będzie polegać na fizycznych procesach uwierzytelniania, ponieważ nadal istnieje zamieszanie dotyczące elektronicznego procesu KYC i jego alternatyw” – powiedziała wcześniej firma.

Obawy dotyczące prywatności danych

Ponieważ indyjski sektor fintech jawi się jako obiecująca szansa na bilion dolarów, obawy dotyczące prywatności danych również stały się surową rzeczywistością dzisiejszych czasów. Po niedawnym błędzie w aktualizacji aplikacji Truecaller, dwa kolejne startupy fintechowe – Chqbook i Credit Fair – doświadczyły naruszenia danych na początku tego tygodnia.

Mówi się, że to naruszenie naraziło miliony danych użytkowników na ryzyko wykorzystania na różne szkodliwe i nielegalne sposoby, w tym przejęcie konta, oszustwo związane z tożsamością, phishing, szantaż, a nawet wymuszenie.

Indie zostały zgłoszone jako drugi kraj pod względem liczby ataków cybernetycznych w latach 2016–2018. Średni koszt naruszenia danych w Indiach wzrósł o 7,9% od 2017 r., przy czym średni koszt naruszenia rekordu wzrósł do 4 552 INR (64 USD).