Bolt, el VTC que filtra tu nombre, tu email, tu número de móvil y tu geolocalización

Bolt no se limita a multiplicar los rastreadores: filtra datos personales identificativos y sensibles

Publicado por Pixel de Tracking el 11 de abril de 2020

Bolt, un VTC dopado con rastreadores

Después del análisis de la app Molotov IPTV, aplicaciones de video chat Houseparty y Zoom, desde el sitio de comercio electrónico Fnac, de la app para compartir direcciones y rutas Mapstr Citymapper, veamos ahora un VTC conocido: Bolt (ex Taxify o Txfy).

Bolt es una empresa estonia que se ha expandido rápidamente por todo el mundo hasta estar presente en más de 150 ciudades en 35 países en diciembre de 2019. Uno de los principales competidores de Uber, también ofrece servicio de scooter y entrega a domicilio ("Bolt Food"). Para analizar el seguimiento presente en su app iOS, seguí los siguientes pasos:

  • Cerrar las distintas aplicaciones en segundo plano.
  • Lanzar la app Charles Proxy y activar la captura.
  • Lanzar la app Bolt y navegar por ella: basta con introducir una dirección de destino, sin pedir un viaje.
  • Exportar los logs de mi sesión de Charles Proxy a mi ordenador para analizar fácilmente las solicitudes enviadas por Bolt.

Bolt iOS

Varias empresas de terceros te están rastreando gracias a Bolt:

  • Google: a través de Firebase Crashlytics (reporte de fallos) y Firebase Remote Config (que permite personalizar Bolt sin tener que volver a desplegar la app). No sorprende ver a Google presente en la mayoría de las apps. Pero Bolt va más allá, porque no sólo envía a Firebase datos seudonimizados (identificadores), sino también datos nominativos: tu nombre, apellido, dirección de email y número de teléfono.
  • AppsFlyer: herramienta de análisis y atribución que permite a Bolt comprender qué campañas publicitarias están funcionando.
  • Segment: el “Tag Manager” ya mencionado en el artículo sobre HouseParty, un verdadero centro para tus datos personales. Segment sirve para transmitir tu recorrido en la app Bolt y tu perfil de usuario a otras empresas de marketing. Aquí Bolt envía, entre otras cosas, a Segment tu nombre, tu apellido, tu email, tu número de teléfono, pero también tu geolocalización GPS (longitud, latitud).
  • CleverTap: a través del dominio wzrkt.com, herramienta de mensajería y analítica personalizada para apps. Aquí también Bolt envía tu nombre, tu apellido, tu email, tu número de teléfono, pero también tu geolocalización GPS (longitud, latitud).
  • Tune: herramientas de atribución que permiten a Bolt comprender qué campañas publicitarias están funcionando.

Una política de privacidad vaga, en contradicción con el RGPD

Bolt está infringiendo el RGPD al enviar mis datos personales a varias empresas de terceros, sin pedirme consentimiento ni siquiera informarme primero. Más gravemente, como acabamos de ver, Bolt filtra datos nominativos (nombre, email), personales (número de teléfono) y sensibles (geolocalización) a varios terceros. Ahora leamos su política de privacidad.

En la página de soporte "Recopilación y procesamiento de datos personales" se indicó (el artículo ya desapareció):

¿Con quién se comparten los datos? Tus datos (nombre, geolocalización) sólo se comunican a un conductor registrado en la plataforma Bolt y únicamente durante la duración del viaje. Tu número de teléfono no es visible para el conductor. Si has olvidado un objeto al final del trayecto, contacta con nuestro servicio de atención al cliente a través de tu app. Para obtener más detalles sobre el procesamiento de sus datos personales, consulte nuestra Política de privacidad de pasajeros.

Como hemos visto anteriormente, esto es una mentira por omisión: tu nombre y geolocalización, así como tu número de teléfono y email se comparten con otras empresas como Google, Segment y CleverTap.

Si miramos ahora política de privacidad del pasajero, la información vuelve a ser mínima, podemos leer en el apartado 4. Destinatarios:

Dependiendo de la ubicación del pasajero, los datos personales pueden ser divulgados a empresas y socios del grupo Bolt Technology OÜ (subsidiarias locales, representantes, afiliados, agentes, etc.). El tratamiento de datos personales por parte de empresas y socios del grupo Bolt Technology OÜ se realizará en las mismas condiciones que las establecidas en esta declaración de privacidad.

¿Quiénes son estas “empresas y socios”? ¿Cuáles son las bases legales para el tratamiento? Bolt no proporciona detalles.

Una transferencia de información personal nominativa a Google

Bolt utiliza la caja de herramientas de Google para desarrolladores de apps: Firebase. Tus datos personales se filtran a través de una llamada al dominio https://firebaseremoteconfig.googleapis.com; es la herramienta Remote Config, que permite a Bolt personalizar su app sin tener que volver a desplegarla.

Diferentes casos de uso son gestionados por Remote Config, como pruebas A/B, lanzamiento de versiones beta, mensajería diferenciada según el idioma del usuario, etc. Casos de uso que no deberían requerir la filtración de datos personales.

Si leemos la documentación de Remote Config, Google no da más detalles sobre el tipo de datos transmitidos; se limita a indicar:

No almacene datos confidenciales en claves de parámetros o valores de parámetros de Remote Config. Es posible decodificar cualquier clave de parámetro o valor almacenado en la configuración de Remote Config para su proyecto.

Sin embargo, esto es lo que Bolt hace con mis datos personales, que considero confidenciales: nombre, email y número de teléfono. También observamos en la documentación de Remote Config que se comunica bien con Google Analytics (que, en su versión para Apps, forma parte de la caja de herramientas de Firebase):

Puede utilizar Remote Config para proporcionar variaciones en la experiencia de usuario de su app a diferentes segmentos de su base de usuarios por versión de la app, audiencia de Google Analytics, idioma y más.

Si ahora leemos la página “Protege tus datos” de Firebase específico para Google Analytics:

Prohibición de enviar información personal Nuestros contratos prohíben a los clientes enviar información personal a Google Analytics. Los clientes deben seguir estas mejores prácticas para asegurarse de que no se envíe información personal a Google Analytics.

Y aquí está la interpretación (restrictiva) de la información personal según Google:

Google - informations personnelles

Por tanto, parece que Bolt, además de no respetar el RGPD, no respeta el contrato de Google Firebase. y que Google no ha tomado medidas para controlar el uso de sus herramientas por parte de las empresas.

Los datos personales también se filtraron a CleverTap

CleverTap es una herramienta de mensajería y análisis personalizada, que se jacta de proporcionar "una vista unificada" de los usuarios de sus clientes (incluido Bolt). Aquí hay una captura de pantalla de su herramienta (disponible en su sitio) para comprender mejor cómo resaltan su información personal:

CleverTap

Por tanto, si un empleado de Bolt se conecta a CleverTap, accederá a mi ficha, llena de mi nombre, mi dirección de email, mi número de móvil y mis distintas interacciones con Bolt (incluidas mis coordenadas GPS). De nuevo, no he dado ningún permiso ni recibido información sobre cómo CleverTap utiliza mis datos personales. Y, de nuevo, ¡no me conecté a Bolt a través de Facebook!

¿Qué hacen los Condiciones de uso de CleverTap (es decir, su servicio para empresas, utilizado por Bolt)? En resumen: todo vale. En el apartado 7, Confidencialidad:

El Cliente puede capturar Información Personal y enviarla a la Plataforma. “Información personal” significa información proporcionada por el Cliente o recopilada por la Compañía según los Términos, información que identifica o puede usarse para identificar, contactar o localizar a la persona o dispositivo al que pertenece esa información. La información personal incluye nombre, dirección, número de teléfono, número de fax, dirección de email, número de seguro social u otro identificador emitido por el gobierno e información de tarjeta de crédito.

Tenga en cuenta también que CleverTap ya había sido identificado a través de este tuit por Elliot Alderson, investigador de seguridad, hace ya 2 años:

Tweet Elliot Alderson CleverTap

Segment, el centro de tus datos personales

Ya había escrito sobre Segment en el análisis de Houseparty: esta herramienta es un "Tag Manager" para apps. Segment recopila tus datos de navegación y tus datos personales para redistribuirlos a otras herramientas utilizadas por Bolt. Al igual que con Google y CleverTap, Bolt elige qué datos personales transmite a Segment. De nuevo, nada mejor que capturas de pantalla del sitio web de Segment para ilustrarlo:

Segment profil

Mi perfil está ahora en la herramienta Segment de Bolt, con mi nombre, mi email, mi número de teléfono, mis interacciones con la app Bolt y mi geolocalización (coordenadas GPS). Después, Segment puede redistribuir mi información a innumerables otras empresas, los "destinos" (activación realizada por Bolt; no tengo forma de saber a quién se filtrarán mis datos personales después):

Segment destination

En este caso, Bolt podría muy bien utilizar Google Firebase, CleverTap y Segment transfiriéndoles seudónimos "simples" (identificadores de usuario), informándole previamente sobre el uso de estos proveedores de servicios y solicitando su consentimiento. Sin embargo, Bolt no hace nada de esto y, por el contrario, filtrará datos personales y sensibles.

¿Cómo combatir esta invasión de tu privacidad? Si “avergonzar” a veces puede funcionar (Zoom elimina el seguimiento de Facebook bajo presión), nada evolucionará realmente sin cambiar las reglas de las App Stores (actualmente demasiado permisivas en cuanto al seguimiento por parte de terceros) o sin una acción significativa (es decir, fuertes sanciones) por parte de autoridades reguladoras como la CNIL.