web analytics
Exclusiv
Internet

CVD – Înregistrările audio “la liber” pe siteul Meridian Taxi

Divulgarea coordonată și responsabilă a vulnerabilităților – ”CVD” este forma de cooperare dintre Deținătorii/Producătorii de servicii, sisteme și programe informatice și Raportorii de vulnerabilități (terțe persoane care identifică și/sau raportează vulnerabilități ale serviciilor, programelor și sistemelor informatice) prin care cele două părți se coordonează în remedierea vulnerabilităților, înainte de divulgarea publică a informațiilor care ar permite comunității largi de utilizatori, producători și cercetători în securitate informatică să adopte măsurile necesare eliminării riscurilor de securitate.

În absența unui cadru juridic dedicat,  metodele concrete utilizate pentru cooperarea prin CVD se bazează pe stabilirea unei relații de încredere între Deținători/Producători și Raportori. În stabilirea relației de încredere pot contribui și terțe părți (neutre) în vederea sprijinirii derulării în bune condiții a procesului de divulgare a vulnerabilităților identificate.

Urmează la finalul lunii să discutăm un pic mai pe larg cu privire la CVD și nivelul de securitate scăzut din partea unor sisteme informatice folosite de un număr ridicat de oameni, iar astăzi voi prezenta scurt situatia prin care a trecut Meridian Taxi in urma cu două luni.

În data de 18.06.2019 a fost identificată o vulnerabilitate de tip Directory Listing pe siteul Meridian Taxi (meridiantaxi.ro). Această vulnerabilitate se manifesta pe subdomeniul static, fiind expus public folderul ce conține înregistrările apelurilor telefonice din ultimele 5 zile. Mai jos este captura ecran cu ultimele înregistrări prezente la momentul transmiterii notificării către operator.

În apelurile înregistrate se regăsesc date cu caracter personal precum nume, prenume, adresa , număr de telefon și cu un offline file browser puteau fi descărcate toate fișierele audio în format .mp3 în numai câteva minute. Fără niciun fel de protecție, token în url, user, parolă, nimic. Tot ce trebuia să facă un potențial atacator era să acceseze un site public.

În lipsa unui răspuns din partea operatorului, raportorul a revenit în data de 20.06.2019 cu un alt email, solicitând securizarea accesului la înregistrările telefonice. Abia în data de 24.06.2019 directorul adjunct Meridian Taxi a confirmat recepționarea emailului și transmiterea acestuia către departamentul de dezvoltare web.

La momentul publicării acestui articol au fost deja securizate metodele prin care puteau fi accesate înregistrările apelurilor telefonice din partea clienților către dispecteratul Meridian Taxi.

Meridian Taxi

Cu o cifră de afaceri de 7.474.461 RON anul trecut și un profit record de 992.439 RON, SC Meridian Taxi SRL este membră Meridian Group,  alături de SC Meridian Taxi Plus SRL cu cifra de afaceri de 620.051 RON și profit net în valoare de  155.724 raportat către Ministerul Finantelor Publice.

Pe lângă activitatea propriu-zisă de transporturi cu taxiuri, companiile de taximetrie pot câştiga bani din activităţi de dispecerat – fiecare taximetrist este obligat prin lege să se arondeze la un dispecerat autorizat de Primărie – dar şi din afaceri precum publicitate cu bannere pe taxiuri, garaj sau leasing auto.

Distribuie articolul pe:
TwitterFacebookGoogle+
  1. Whaaaaat? Astea nu ar trebui sa circule in mediu controlat, cu acces pe clasa IP interna și user cu parola?

    • Nimic din pacate. Trebuia doar sa deduci logic cum se numeste folderul unde sunt inregistrarile. In engleza 🙂

  2. Data Protection ce a spus?

    • Florina Stanciu 19 august 2019 at 20:53

      DataProtection ar trebui sa se autosesizeze dacă exist suspiciunea unui data breach așa cum este descris in articol

    • Nu stiu pt ca nu e treaba mea sa ii anunt 🙂

      • de asta merge țara asta așa. pentru că veniți voi ăștia cu “nu e treaba mea să îi anunț” și închideți ochii la toate căcaturile și după vă minunați ca proștii de ce merge totul prost și nimeni nu face nimic. păi uite de aia

        • Da si nu. În Articolul 33 din RGPD – Notificarea unei încălcări a datelor cu caracter personal către autoritatea de supraveghere, se specifică:

          Raportarea în situatia aparitiei unor brese de securitate este obligatorie pentru orice operator de date personale;
          Operatorii trebuie sa raporteze catre autoritatilor de supraveghere competente orice încalcare a conditiilor de siguranta fara întârzieri nejustificate; Daca este posibil , nu mai târziu de 72 de ore de la prima constientizare;
          Daca raportarea nu este facuta în termen de 72 de ore, trebuie furnizata o justificare a întârzierii;

          Scopul notificarii operatorului de catre raportor a fost sa respecte legislatia. Nu are de unde sa stie raportorul daca operatorul a notificat el data protection-ul iar daca e prins ca nu a facut-o, amenzile sunt mult mai mari.

  3. Acum vor da vina pe hackeri sau își vor asuma eroarea

  4. ce naiba făceau cu apelurile public?

  5. și vocea este considerată data cu caracter personal. Ai salvat probatoriu și câteva apeluri?

    • Nu stiu sa fi fost pastrate apeluri. Da stiam ca si vocea si imaginea sunt date personale. E discutabila legalitatea pastrarii apelurilor si prin faptul ca la Meridian nu esti anuntat ca ”această convorbire este înregistrată, iar continuarea ei reprezintă acordul dumneavoastră

  6. Sper sa faci categorie din CVD asta. Dau cu subscribe și astept sa vedem ce amenda primește Meridian Taxi

  7. am sunat acum la 0219444 si nu ma anunta la inceputul convorbirii ca ar fi înregistrate apelurile. inteleg motivul inregistrarii dar nu întreg motivul pentru care nu anunta lucrul asta și de ce au publicat convorbirile telefonice

  8. O să transmit eu o sesizare la organul de protecție și reglementare a datelor private. În 30 de zile ar trebui să primesc și un răspuns și o să îl public pe Noobz, cum am făcut și în cazul Vodafone când a fost amendată primăvara trecută.

  9. […] Cristian Iosub scria pe blogul său despre cum Meridian taxi a avut, acum 2 luni de zile, toate convorbirile telefonice […]

  10. Am primit răspuns de la ANSPDCP că s-au autosesizat de marți dimineață. Ceea ce înseamnă că se efectuează un control și rămâne de văzut despre ce sancțiuni vorbim. O să actualizez articolul pe Noobz pe măsură ce mai primesc răspuns de la ei. https://www.noobz.ro/2019/08/20/meridian-taxi-nu-a-protejat-datele-clientilor-am-sesizat-anspdcp/

  11. Nu m-aș mira dacă firma asta aparține vreunui securist sau puiete de securist sau vreun sublatern al vreunui securist.

    Securismul se vede și-n gene.

  12. site-ul ala este la liber si acum 🙂

    Cristian Iosub