Conversațiile pe care le aveți cu firmele de taxi prin dispecerat ar trebui să fie private și să nu ajungă la oricine. Ei bine, la Meridian Taxi lucrurile nu stau chiar așa, iar convorbirile înregistrate au fost descoperite și ușor de accesat de orice persoană din exterior. Problema este că în acest conversații sunt dezvăluite date personale sensibile, precum nume, prenume, telefon sau adrese.
S-a descoperit că toate apelurile telefonice care au ajuns la dispeceratul Meridian au fost expuse publicului și puteau fi accesate de oricine din afară. Chiar și dacă faceți o comandă online, prin intermediul site-ului Meridian, datele voastre nu sunt în siguranță. Site-ul companiei nu este securizat prin https, iar datele transmise nu sunt cripate și ar putea fi interceptate.
"Potrivit articolului 32 din GDPR, operatorul trebuie să implementeze măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător raportat la riscul pe care îl prezintă eventuală breșă de securitate pentru drepturile și libertățile persoanelor vizate", conform Avocatoo.
Cristian Iosub a făcut această descoperire și a arătat pe blogul său felul în care puteau fi accesate conversațiile care nu aveau niciun fel de protecție, token în url, user sau parolă. Tot ce trebuia să facă un potențial atacator era să acceseze un site public.
Problemele cu GDPR-ul pentru Meridian Taxi
Conform politicii de confidențialitate regăsite pe site, Meridian spune, în josul paginii că dacă îți dai acordul, compania poate înregistra și păstra convorbirile telefonice către/de la centralele telefonice. Totuși, potrivit avocatului Ana-Maria Udriște, fondatorul platformei Avocatoo, Meridian nu face dovada obținerii unui consimțământ valabil.
Potrivit preambulului (32) din GDPR, ”Acesta [n.n. consimțământul] ar putea include bifarea unei căsuțe atunci când persoana vizitează un site, alegerea parametrilor tehnici pentru serviciile societății informaționale sau orice altă declarație sau acțiune care indică în mod clar în acest context acceptarea de către persoana vizată a prelucrării propuse a datelor sale cu caracter personal.
Dacă suni la dispeceratul Meridian ești întâmpinat de un mesaj prin care ești anunțat că vei fi înregistrat. Conform GDPR, consimțământul trebuie exprimat printr-o acțiune pozitivă, informată și neechivocă, iar Meridian nu-ți dă posibilitatea de a răspunde.
Între timp, compania a securizat conexiunea, dar nu știm exact cine a avut acces la acele date și cu ce scop (site-ul este în continuare fără https).