瑞典公司Truecaller在一篇博客文章中澄清说,最近关于他们付费功能的事件是一个异常现象。
在解释发生的事情时,首席执行官Alan Mamedi在博客文章中说,上周一该公司开始为Android用户推出Truecaller的更新版本,他们注意到第一批用户在Android上更新到新版本(10.41.6)开始抱怨短信是在未经用户同意的情况下自动发送给他们的银行合作伙伴的。
由于这种异常现象,一些用户(不到印度每月总用户数的0.12%)自动启动创建他们从未要求的付款配置文件。但是,该公司表示,没有任何银行账户或用户的财务信息受到损害,并立即采取措施解决问题并确保服务恢复正常
这是什么错误?
导致严重破坏的特定API应该仅针对同意使用Truecaller Pay注册的现有Truecaller Pay用户启动。由于此API仅适用于已注册的支付用户,如果有迹象表明注册用户的凭据已损坏,则API将触发刷新凭据。但是,此API是针对尚未注册付款的部分用户触发的。这样的API问题在Truecaller和我们没有设计的场景中是不寻常和前所未有的。因此,支付后端以错误代码响应,表示用户没有足够的凭据来执行此请求(这就是奇怪的SMS消息的内容)。在正常情况下,这将是正确的行动方案,因为只有预先注册的用户才会出现此错误。这触发了凭证刷新,最终会导致无意中触发UPI注册。
好消息
Truecaller立即停止发布,并在该特定版本上远程停止所有支付功能。不到0.12%的印度用户在未经他们同意的情况下注册了UPI,我们采取快速措施删除受影响用户的帐户。由于注册发生在后台,我们的受影响用户从未被要求创建UPI Pin代码,这意味着注册过程从未完成。因此,上述事故并不意味着受影响用户的任何损失,无论是用户数据还是财务方面。如果没有用户手动提交他们的UPI PIN(从未如上所述创建),Truecaller无法进行任何交易。因此,这不会影响或使用户的银行账户容易受到任何意外的金融交易的影响。
纠正措施的步骤
1.停止滚出受影响的版本
2.取消注册所有受影响的用户(<0.12%的印度MAU)
3.在几小时内发布带有错误修复的版本(Android上的固定版本为v10.41.7)
4.在新构建达到关键范围后,为用户安排强制更新。(现在有空)
澄清
未经用户同意,Truecaller不会读取用户的短信以创建信用评分。
我们最近推出贷款作为我们的Truecaller Pay产品的一部分,以帮助和支持那些不一定能够获得银行批准的传统信用评分的社区。这笔贷款可以帮助扩大他们的小企业,或利用可能出现的机会,我们认为替代数据可以在像我们的本土市场,印度这样快速增长的经济中更有帮助。
在我们的确定过程中,我们可能会使用交易短信(交易短信排除从十位手机号码收到的用户的任何个人短信),但是,只有当用户请求贷款并明确说明时,才能对用户交易短信进行任何此类访问。同意分析他们的交易信息。如果用户未请求贷款并提供明确同意,我们不会出于贷款目的处理任何个人数据。