În urmă cu două luni de zile, pe site-ul Meridian Taxi a fost identificată o vulnerabilitate de tip Directory Listing. Aceasta se manifesta pe subdomeniul static, fiind expus public folderul ce conține înregistrările apelurilor telefonice pe care le-au avut clienții în ultimele 5 zile.
UPDATE 21.08.2019! ANSPDCP a răspuns astăzi solicitării transmise de Noobz ieri pentru a se face verificări în cazul Meridian Taxi. Astfel, aflăm că Autoritatea de supraveghere a demarat deja o investigație din oficiu în acest sens. Vă ținem la curent cu decizia finală.
Dezvăluirea de date personale de către Meridian Taxi pe larg
În apelurile înregistrate sunt prezente date cu caracter personal precum nume, prenume, adresă și număr de telefon. Orice persoană cu intenții rele ar fi putut să descarce cu ușurință toate fișierele audio în format .mp3 în doar câteva minute. Asta fără niciun fel de protecție, token în URL, user sau parolă. Prin simpla accesare a site-ul public, un atacator putea să își aleagă viitoarele ținte.
Problema a fost semnalată către compania de taximetrie încă din 18.06.2019. Datoria companiei era să ancheteze situația și apoi să informeze clienții despre pericolul la care au fost (și încă erau) supuși. Meridian Taxi nu a revenit cu niciun răspuns către persoana care a raportat vulnerabilitatea.
Motiv pentru care, o nouă sesizare a fost depusă pe 20.06.2019 printr-un alt email. În aceasta era solicitată securizarea accesului la înregistrările telefonice. Au fost necesare 4 zile pentru ca directorul adjunct al companiei de taximetrie Meridian să confirme recepționarea sesizării și transmiterea acesteia către departeamentul de dezvoltare web.
În acest moment, Meridian Taxi a securizat înregistrările apelurilor telefonice din partea clienților către dispecerat. Însă, nu a transmis niciun mesaj public de informare clienților afectați. Cum de altfel, nu a informat organele abilitate cu privire la pericolul la care au fost supuse datele clienților companiei.
Deși a securizat convorbirile înregistrate, compania de taximetrie nu informează clienții că le sunt stocate datele timp de 5 zile
Când suni la taxi Meridian, nu ești anunțat nici la începutul convorbirii, nici pe parcursul acesteia că apelul va fi sau este înregistrat. Acum, nu este contestat motivul înregistrării. În schimb, se ia în calcul pericolul la care pot fi clienții supuși dacă un infractor sau mai mulți au acces la convorbirile telefonice.
Să discutăm ipotetic despre un hoț de locuințe. Putem specula că acesta se poate folosi de înregistrările telefonice de la Meridian Taxi. Fie pentru a afla când se pleacă dintr-un anumit domiciliu, fie pentru a urmări pe cineva. Da, poate părea stupid, dar e cât se poate de viabilă ipoteza. Apoi, se discută despre datele personale, de la nume la număr de telefon și adresă, la care oricine putea avea acces dacă intra pe site-ul Meridian Taxi.
Meridian Taxi are o cifră de afaceri de 7.474.461 RON și un profit record de 992.439 RON. SC Meridian Taxi SRL este membră Meridian Group, alături de SC Meridian Taxi Plus SRL. Cu o cifra de afaceri de 620.051 RON și profit net în valoare de 155.724 raportat către Ministerul Finantelor Publice.
Pe lângă activitatea propriu-zisă de transporturi cu taxiuri, companiile de taximetrie pot câştiga bani din activităţi de dispecerat. Fiecare taximetrist este obligat prin lege să se arondeze la un dispecerat autorizat de Primărie. Cum de altfel pot câștiga bani şi din afaceri precum publicitate cu bannere pe taxiuri, garaj sau leasing auto.
Am transmis mai departe către ANSPDCP cazul Meridian Taxi. Vă mențin la curent cu răspunsul primit de la Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal și cu soluționarea cazului. Cert este că, datele clienților Meridian Taxi au fost în pericol. Compania trebuie să fie trasă la răspundere pentru asta. Sursa