Haftungsausschluss: Dieser Artikel wurde mit zusätzlichen Anmerkungen von Hitesh Raj Bhagat, Global Head of Corporate Communications, aktualisiert. Diese finden Sie am Ende des Artikels.
Sie könnten gut auf Ihre Online-Privatsphäre aufpassen. Sie könnten jedes Mal, wenn Sie online gehen, einen der besten VPN-Dienste nutzen. Sie stellen auch sicher, dass Sie Ihre wichtige Kommunikation mit verschlüsselten Messaging-Apps sichern.
Eines Tages stellen Sie jedoch möglicherweise fest, dass Ihr Name und Ihre Telefonnummer für jedermann zugänglich sind, ohne dass Sie es überhaupt wissen.
Das wilde Sammeln und Offenlegen von Telefondaten von Personen ohne deren Zustimmung ist einer der Hauptvorwürfe gegen die beliebte Betrugs-Anrufblockierungssoftware Truecaller.
Die US-amerikanische Viceroy Research, die sich selbst als internationale investigative Finanzgruppe bezeichnet, hat diesen und andere Verstöße in ihrem letzten ausführlichen Bericht eingereicht, der sowohl das Geschäftsmodell als auch die Sicherheitsinfrastruktur des Unternehmens untersucht.
Obwohl Truecaller alle Anschuldigungen zurückweist und Viceroy Research in der Vergangenheit wegen falscher Behauptungen verklagt wurde, bleiben viele Fragen zum Datenschutz der App offen.
Das wahre Gesicht von Truecaller enthüllt? Ein Bericht von @viceroyresearch behauptet, dass @Truecaller („TC“) nicht so „datenschutzorientiert“ ist, wie es behauptet. Sie wirft TC unter anderem vor, Nutzerdaten zu sammeln, ohne deren ausdrückliche Zustimmung einzuholen. 1/8https://t.co/II6rFlz7H910. Oktober 2022
Was ist Truecaller?
Truecaller ist eine mobile App, die für Android- und iOS-Geräte verfügbar ist und nicht vertrauenswürdige Anrufe automatisch filtert und blockiert, um Spam zu verhindern.
Benutzer müssen lediglich ihre Telefonnummer angeben, um mit der Nutzung des Dienstes zu beginnen. Die App greift dann auf ihre Kontakte zu, um ihr Telefonbuch aufzubauen und ihre Spam-Datenbank zu verbessern. Es blockiert sogar schädliche Nachrichten, bevor sie Ihr Gerät erreichen können.
Wie das Technologieunternehmen auf seiner argumentiert offizielle Website (öffnet in neuem Tab): “Truecaller ist stolz darauf, ein führender Anbieter von Anrufer-ID- und Spam-Blockierungssoftware sowie der Forschung zu Anruf- und SMS-Belästigung zu sein.”
Truecaller, ein in Schweden ansässiges Unternehmen, ist in der afrikanischen Region südlich der Sahara und in Indien besonders beliebt. Letzteres ist tatsächlich der weltweit führende Markt mit mittlerweile mehr als 190 Millionen täglich aktiven Nutzern Die Wirtschaftszeit (öffnet in neuem Tab).
Dies ist nicht verwunderlich, da Indien zu den Ländern gehört, die die meisten Spam-Anrufe erhalten.
Bemerkenswerter ist vielleicht die Tatsache, dass das Unternehmen seinen Betrieb und seine Datenserver 2018 tatsächlich nach Indien verlagert hat. Und laut Viceroy lauern hinter dieser geschäftlichen Wendung einige zwielichtige Gründe.
Die Vorwürfe: von Sicherheitsverletzungen bis zur invasiven Datenerfassung
In seinem Der True Colors-Bericht von Truecaller (öffnet in neuem Tab)erhebt Viceroy Research eine ganze Reihe von Behauptungen gegen die wohlwollende Natur der beliebten Anrufblockierungs-App.
Wenn Benutzer Truecaller auf ihrem Smartphone installieren, bittet die inkriminierte App um Erlaubnis, auf ihre Kontaktliste zuzugreifen, um ihr eigenes Telefonbuch zu füttern. Das bedeutet, dass die Telefonnummern von Personen in seiner Datenbank landen, nur weil sie auf einem Gerät gespeichert sind, das ein solches Tool verwendet, ohne dass sie dem zustimmen.
Sie fragen sich vielleicht, wie eine derart invasive Datenerfassungspraxis zugelassen werden konnte. Nun, das ist es nicht wirklich. Diese Vorgehensweise ist eigentlich gegen beides Datenschutzrichtlinie von Google und die EU/UK GDPR – das Datenschutzgesetz, das darauf abzielt, die online gesammelten Benutzerdaten zu minimieren.
Wie ist Truecaller dann in der Lage, seine Operationen auf diese Weise durchzuführen?
Um beispielsweise die Regulierung von App-Stores zu umgehen, hat das Unternehmen Berichten zufolge Vereinbarungen mit Herstellern von Android-Telefonen getroffen, um seine App auf neuen Geräten vorzuinstallieren. Außerdem müssen diese Regeln nicht eingehalten werden, wenn sich Benutzer über ihren Browser anmelden.
Wie bereits erwähnt, hat Truecaller 2018 alle seine Rechenzentren nach Indien verlegt. Und raten Sie mal, was in diesem Jahr auch passiert ist? Die DSGVO wurde eingeführt. Laut den Forschern von Viceroy gilt jedoch: „Truecaller unterliegt immer noch den DSGVO-Bestimmungen, und diese Vorschriften gelten für alle Truecaller-Benutzer.“
Viceroy wirft dem schwedischen Unternehmen auch vor, Steuern in Indien zu hinterziehen – einem Land, in dem seine Verkäufe getätigt werden wuchs zwischen Januar und Juni um 133 % dieses Jahr. Sie befanden Truecaller auch für schuldig, ihre Benutzer mit invasiver Werbung und Web-Trackern zu spammen. Forscher sind besonders besorgt darüber, wie die Software wahllos auch solche sensiblen Daten über Minderjährige sammelt.
Noch schlimmer ist, dass Viceroy nicht der erste ist, der die mutmaßlichen Datenschutzverletzungen und Sicherheitsverletzungen von Truecaller untersucht. Unten sind nur einige Beispiele.
Im Jahr 2013 wurde untersucht, wie eine Gruppe syrischer Hacker (die Syrian Electronic Army) dazu in der Lage war die App-Datenbank ausnutzen (öffnet in neuem Tab) sein Sicherheitsmodell auf den Prüfstand stellen.
Die Artikel-29-Arbeitsgruppe, damals ein unabhängiges europäisches Beratungsgremium zum Datenschutz, bereits äußerte seine Bedenken (öffnet in neuem Tab) über die Einhaltung der Datenschutzgesetze durch TrueCaller im Jahr 2017.
2019 gab es dann einige Berichte, die zeigten, wie die Daten vieler Truecaller-Nutzer – die meisten Inder – im Darknet preisgegeben wurden. Privacy International wies darauf hin Gefahren, in der Truecaller-Datenbank zu landen (öffnet in neuem Tab) für Journalisten und andere Benutzer, deren Privatsphäre von größter Bedeutung ist.
Damals empfahlen die Datenschützer dem Unternehmen, Maßnahmen zur Behebung seiner Datenschutzprobleme zu ergreifen. „TrueCaller hat unsere Antwort zwar bestätigt, aber kein Interesse daran gezeigt, diesen Schritten zu folgen.“
In jüngerer Zeit indisches investigatives Magazin Die Karawane sah zu (öffnet in neuem Tab) wie die „Erweiterte Suche“ von Truecaller dazu führt, dass Benutzer automatisch alle ihre Kontaktdetails wie Namen, Nummern und E-Mail-Adressen teilen.
Es berichtete auch über eine noch besorgniserregendere Dynamik. Ehemalige Mitarbeiter von Truecaller sagten The Caravan, dass die App auf SMS-Nachrichten von Benutzern zugreifen kann, um ein Finanzprofil ihrer Benutzer zu erstellen. Da es für indische Banken üblich ist, mit ihren Kunden per SMS zu kommunizieren, „könnte diese Fähigkeit es der App ermöglichen, Kreditangebote an Menschen zu senden, wenn ihr Bankguthaben unter eine bestimmte Grenze fällt.“
Truecaller antwortet
Truecaller antwortete umgehend auf solche Anschuldigungen und bestritt, dass es zu Datenschutzverletzungen gekommen sei.
Genauer gesagt das Unternehmen reagierte auf die Untersuchung von The Caravan (öffnet in neuem Tab) mit der Behauptung: “Truecaller ist nicht daran interessiert, Finanzprofile seiner Benutzer zu erstellen oder zu sammeln.”
Es argumentierte auch, dass die Anschuldigung der Karawane der „erweiterten Suche“ sachlich falsch sei. Viceroy Research fand jedoch die automatische Überprüfung der Funktion für neue Benutzer in Indien bis zum 28. September.
Zur gleichen Zeit auch Truecaller schlug Viceroys Fehlverhaltensansprüche zu (öffnet in neuem Tab) als falsch. „Der Leerverkäufer hat verschiedene falsche und unbestätigte Aussagen über uns gemacht“, sagte ein Sprecher gegenüber TechRadar.
Zum Beispiel sagte der Anbieter, dass der Grund für seinen Umzug nach Indien tatsächlich darin bestand, seinem größeren Teil der Benutzer näher zu kommen, um schnellere Leistungen zu liefern. Es weist auch darauf hin, dass es die Berechtigung zum Zugriff auf das Telefonbuch benötigt, um ordnungsgemäß zu funktionieren. Das Unternehmen versichert jedoch, dass die Privatsphäre der Benutzer nicht verletzt wird.
Gleichzeitig ist es auch erwähnenswert, dass Viceroy Research gewesen ist wegen falscher Anschuldigungen mit einer Geldstrafe von 50 Millionen Rand belegt (öffnet in neuem Tab) Die südafrikanische Capitec Bank fungiert als “Kredithai”.
Von einer Seite zur anderen bleiben also noch viele Zweifel.
Sicher ist, dass das schwedische Unternehmen angesichts des bevorstehenden neuen indischen Datenschutzgesetzes seine Datenerfassungspraktiken bald an neue Vorschriften anpassen müsste, wenn es sich nicht vor Gericht verantworten möchte, weil es dies nicht getan hat.