2022.04.14

TrueCaller,价值10亿美元的“数据窃取”帝国(二)

神译局是36氪旗下编译团队,关注科技、商业、职场、生活等领域,重点介绍国外的新技术、新观点、新风向。

编者按:在数字经济和智能设备高度发达的今天,整个世界是互联的,但随其而来的是一个极容易被人忽视却至关重要的问题——个人数据安全和隐私问题。在印度,一款叫做“真实来电”(TrueCaller)的来电显示应用风靡全国,这个来电显示自带神效,不仅可以显示陌生来电者的姓名、职业、来自哪个地方,甚至其前雇主的名字也众目具瞻。更可怕的是,这款应用竟然还可以根据个人设备上的个人财务数据推送贷款广告和理财方案。这个应用来自瑞典,却为何在印度成为下载量占其全球总量三分之一的热门软件?接下来为你揭秘。因篇幅原因,文章分为两部分刊出,此为第二部分。本文来自编译。

划重点:

Truecaller在印度虽然取得了巨大的成功,但这种成功实际上相当可疑,根基并不稳固。

Truecaller的大部分数据集都是在未经用户同意的情况下完成收集的,这一成就之所以成为可能,是因为印度缺乏围绕数据保护的、全面的法律框架。

该公司目前的业务,可能还涉及为注册用户建立一份完整的财务档案。

你手机中的每一个联系人都将成为Truecaller数据库的一部分,该数据库包括那些未注册或未同意将其号码识别出来的用户。

这是一种众所周知的“同意疲劳”现象。

只要有人用他的电子邮件登录网站,他的联系人就会被上传到Truecaller的服务器上。

Truecaller实际上是在从你的联系人那里收集你的个人数据,然后在未经你同意的情况下使用这些数据。

2020年6月,一家国家银行的一名助理经理(由于不想危及自己的安全,不愿透露姓名)搬到了孟加拉国,加入了印度外交使团所雇佣的合作方。这名银行员工告诉The Caravan,他们一到孟加拉国,由于服务提供商的规定,手机上的常规短信功能就停止了工作。然而,这名银行员工仍然可以收到短信通知,包括每次在线交易的一次性密码(OTP),这是通过安装在手机上的Truecaller实现的。他们与The Caravan分享了其中一些消息的截图,有国家银行的标志、他们的银行余额,以及每条账户号的后四位数字。这导致了一个问题:Truecaller是否能够访问SMS内容,是否能够见证与银行的每一次“秘密握手”——通过一次性密码而进行的银行交易。

这位前雇员说:“除了追踪你的电话、通话时长、你频繁和最不频繁的联系人之外,Truecaller软件还可以建立你的详细财务资料,因为它可以访问你的短信。”他们证实,该公司的算法可以读取短信内容。“Truecaller软件有一个叫做‘短信分类器’的特殊功能,能够识别个人、高优先级(银行一次性密码OTP和交易),以及注册用户的垃圾短信。”他们补充说,当人们的银行余额低于某个数字时,该应用程序会向他们发送贷款建议。Truecaller已经为注册用户提供了高达50万卢比(约6600美元)的短期贷款,无需太多的文书工作。该公司还与提供个人贷款的WhizDM Innovations等公司建立了金融合作关系。

这位前雇员还指出,访问短信存在安全风险,因为如果Truecaller系统被感染或出现bug,整个数据都可能被泄露。他们表示:“短信主要处理银行交易,任何人都可以试图获取数百万Truecaller用户的财务信息,并窃取这些信息。”他们指出,2019年,“一个所谓的漏洞”自动创建了印度工业信贷投资银行(ICICI Bank)的统一支付接口账户,“在Truecaller用户中引发了恐慌和黑客攻击恐惧。”Alan Mamedi随后通过一篇博客文章表示道歉,他说:“我们理解这一消息和众多谣言可能给人们带来的担忧和沮丧,我们真诚地向他们道歉。Truecaller的所有员工都为发生这样的事情感到难过。”

Truecaller否认它有读取短信内容的能力,并表示它只在本地分析手机上的短信,以识别发送者,并确定它是否是垃圾邮件。然而,该公司同时声称,通过将Truecaller作为一个默认的短信应用程序,用户可以将邮件分类,如OTPs、约会、垃圾邮件、未保存的号码等,从而保持收件箱的整洁。

此外,Truecaller适应世界部分地区不断演变的立法的方式,也引发了对其在印度的做法的一些严重问题。该公司在另一个主要市场尼日利亚制定了严格的隐私规定,并在2016年欧盟通过《通用数据保护条例》(General Data Protection Regulation)后,为欧洲用户重新构建了应用程序。然而,印度市场并没有采取类似的严格措施。

例如,这款应用的欧盟用户拥有基于六个法律关卡的多层保护:同意、合同履行、合法利益、重大利益、法律要求和公共利益。因此,该应用程序为其欧盟用户在隐私中心提供了额外的访问和控制功能,允许他们访问、纠正、删除、限制处理和传输他们的数据。印度用户没有这样的选项。在《通用数据保护条例》GDPR实施后,一个独立的欧洲数据保护和隐私咨询机构——工作组(Working Party)于2017年6月致函Mamedi,对True Software收集个人数据的方式表示担忧。这封信的副本在The Caravan里,上面写着:

“Truecaller实际上是在从你的联系人那里收集你的个人数据,然后在未经你同意的情况下使用这些数据。”

True Software似乎既从Truecaller用户的联系人列表中获取个人数据,也在某些情况下从他们的社交媒体页面中获取个人数据(包括姓名、电话号码、电子邮件地址,如果可能的话,还包括人口统计信息和其他联系信息)。这些信息会通过在Truecaller的网站和移动应用程序上进行反向搜索而公开。除非这些人经常关注自己的网站或主动下载这款应用程序,否则完全有可能对自己数据的使用情况一无所知。这意味着他们被剥夺了自己下指令的权利,他们的隐私受到了侵犯。

不久之后,该公司于2018年将其数据中心移至印度。普拉纳什·普拉卡什是总部位于班加罗尔的非营利组织互联网与社会中心的创始成员之一。据他说,Truecaller在印度的运作方式是不作为的。他说:“当Truecaller说‘我们用户的权利和利益是头等大事,因此我们为所有地域的用户提供基本相同的权利’时,他们是在撒谎。”在印度,Truecaller会从你的地址簿中存储联系人的个人信息,并提供联系人的反向号码查找功能。这不是一个跨地域“基本相同的权利”的例子。欧盟用户的隐私权显然得到了Truecaller的尊重,而Truecaller却不尊重印度人的隐私权。”

Truecaller的做法似乎也违反了谷歌的隐私准则。谷歌Play Store的公关经理里什图·阿玛纳尼(Rishitu Amarnani)对The Caravan关于Truecaller做法的问题给出了不明确的回答。我们被告知,“你们分享的信息已转交给相关团队”,该团队“正在对此进行调查,并将根据调查结果采取适当行动”。程序员出身的律师Prasanna告诉The Caravan,“不幸的是,谷歌的隐私政策非常有限”,因为它的目的只是规范应用程序如何从用户那里收集个人数据。“Truecaller实际上是在从你的联系人那里收集你的个人数据,然后在未经你同意的情况下使用这些数据。”

尽管印度政府在数据保护法案上拖拖拉拉,忧心忡忡的印度公民已经开始介入了,开始填补隐私保护这一空白。2021年7月,孟买高等法院向印度政府、马哈拉施特拉邦政府和印度国家支付公司(National Payments Corporation of India)发出通知,回应有关Truecaller应用程序违反规定共享用户数据的公益诉讼。提交请愿书的实习律师Shashank Posture称,Truecaller在未经用户同意的情况下与一些合作伙伴共享数据,然后将责任推给用户。

“像Truecaller这样的数据驱动公司的一个主要优势是,印度人还没有理解隐私的价值和需要,”Posture告诉The Caravan杂志。“在印度,没有明确的隐私法,人们对可以接触到数以百计的私人隐私号码这件事并未感到不妥,甚至并未想到这可能会招致广告电话对他们及亲朋好友进行轰炸,甚至不觉得将他们的名字和职业身份公布在公共领域是一件危险的事情。”

数据保护法案能否解决与Truecaller相关的隐私和数据问题,还有待观察。“对于即将到来的DPB,我们一直与主要利益相关者保持着定期联系,”该公司发言人告诉The Caravan。“我们的首席执行官Alan Mamedi在2020年亲自会见了联合议会委员会的主要成员,传达了我们的立场,解释了Truecaller的工作原理,并表示我们会遵守最终法案的所有条款。”

Prasanna对该法案不抱太大希望。他说,尽管它明确禁止未经同意收集数据,但只有当受影响的一方能够证明受到损害而不是隐私损失时,它才提供赔偿。“这可能会让DPB变成一只没有牙齿的老虎——即使有罚款和处罚的规定。”



上一篇:被盯上的个人信息:儿童手表变偷窥器,免费WiFi一天定位6万

下一篇:奥怡轩金牌合作厂商昂楷科技宣布完成新一轮战略融资