Aplicaţia Taxi Index Client îţi pune viaţa privată în pericol!

vulnerabilitate
Imaginea ilustrează felul în care informaţiile pe care le punem la dispoziţia anumitor persoane ne pot face vulnerabili în anumite situaţii.

[NU UITAŢI SĂ CITIŢI UPDATE-URILE AFLATE LA FINAL DE ARTICOL]

Eşti client Taxi Index? Atunci, e important să citeşti această postare şi să acţionezi urgent pentru a-ţi proteja datele personale!

Taxi Index este cea mai mare companie de taxiuri din Ploieşti, cu peste 200 de maşini pe plantaţie. Taxiurile de la Index sunt monitorizate în permanenţă cu ajutorul unui GPS care furnizează în timp real informaţii despre poziţia vehiculului, viteza acestuia, motor oprit/pornit, dar şi alte detalii de care nu ştii, dar care alcătuiesc rapoarte diversificate pentru flota auto. Taximetriştii de la Taxi Index folosesc foarte rar staţia din dotare, asta pentru că nu mai au nevoie de ea. O aplicaţie instalată pe telefon îi ajută să comunice cu baza, dar şi cu ceilalţi şoferi Taxi Index, aflaţi în trafic. Aceeaşi aplicaţie le alocă taximetriştilor comenzile venite prin telefon (0244 944) sau direct de pe internet.

Aplicaţia pe care o folosesc taximetriştii este diferită de cea pe care o folosesc clienţii Taxi Index. Însă, datele sunt puse la comun şi ajung pe o platformă de unde baza poate verifica în detaliu orice reclamaţie.

Taxi Index Client se numeşte aplicaţia pe care trebuie să ţi-o instalezi dacă eşti client al acestei companii. Când zic trebuie, înseamnă că există la mijloc o problemă, pe care chiar eu am depistat-o în această dimineaţă.

Unde greşeşte aplicaţia Taxi Index Client?

Imediat cum mi-am instalat aplicaţia pe telefon, am deschis-o şi mi-am creat un cont utilizator. Până aici, nimic extrem! Mi-am introdus numele, adresa de e-mail, parola, precum şi numărul de telefon, cel de pe care, de fel, realizez comenzile. Am trimis datele pentru înregistrare şi imediat m-am putut loga cu numărul de telefon (ţine loc de user) şi parola aleasă de mine.

Problema apare exact acum! Fără să-mi confirm numărul de telefon declarat, am putut să-mi vizualizez absolut toate informaţiile despre ultimele comenzi. Mai exact, fiecare comandă înregistrează următoarele detalii: data şi ora la care s-a făcut comanda, locaţia, indicativul maşinii, traseul parcurs, timpul petrecut în maşină, dar şi poziţia finală înainte de debarcare. Am zis că sunt eu nebun şi că nu se poate aşa ceva! Cum greşească atât de tare un programator?  La mijloc e vorba de o breşă serioasă de securitate, de care oricine poate profita! Am crezut că aplicaţia ştie automat dacă numărul de telefon declarat este acelaşi cu cel de pe care se trimite solicitarea. După ce am încercat cu un alt număr, de această dată direct de pe laptop, am constatat aceeaşi vulnerabilitate. Da, problema e pe bune! Orice Gigel poate afla ce a făcut Viorica aseară, unde a dormit şi de ce a părăsit oraşul, când se presupunea că e la locul de muncă!

Aşadar, dacă nu ai instalată aplicaţia pe telefon, cineva se poate înregistra cu numărul tău de telefon şi poate afla informaţii personale despre tine. În acest caz, tehnologia a dat-o în bară!

Cum rezolvi vulnerabilitatea?

Instalează-ţi aplicaţia chiar azi (Android IOS şi Windows Phone) şi foloseşte o parolă puternică! Pe termen lung, informaţiile private care ajung pe mâinile cui nu trebuie, te pot afecta! Dacă nu faci nimic în acest sens, îţi asumi, mai ales dacă ai citit această avertizare! Dacă cineva s-a folosit de datele tale, iar tu nu te poţi înregistra, sună urgent la Index!

Sugestie pentru dezvoltatorul aplicaţiei Taxi Index Client

În momentul înregistrării unui nou utilizator în sistem, este important să existe o confirmare a numărului de telefon printr-un sms. Nu cred că e vorba de o muncă asiduă în acest sens, ci doar de mai mult interes pentru protecţia datelor cu caracter personal.

P.S. În prezent, aplicaţia Taxi Index Şofer îi oferă taximetristului posibilitatea de a înregistra audio fiecare comandă. Tare, nu?

UPDATE: În timp record, cei de la Taxi Index m-au contactat. Se pare că i-am prins cu budigăii în vine. Confirmarea prin sms există, dar este dezactivată momentan. Confirmarea se face printr-un apel către bază, direct din aplicaţie. Lucrurile vor reveni la normal cât se poate de curând! Problema are şi o explicaţie: “Datorită unor lucrări de upgrade hardware la server şi centrala telefonică, validarea a fost dezactivată temporar, iar în cursul zilei de azi va fi din nou activată”, a declarat Ioan Gheorghe, administratorul firmei.

UPDATE 2: Taxi Index foloseşte un robot telefonic care îţi comunică în timp record timpul în care va sosi maşina şi indicativul acesteia. Vocea robotului e feminină şi zice ceva de genul: “Căutăm maşină, vă rugăm aşteptaţi. Maşina cu numărul … va sosi la dumneavoastră în … două, trei minute.” Din ce am înţeles, de Revelion, centrala nu a mai sunat ocupat, iar baza a reuşit să facă faţă numărului mare de comenzi, cu ajutorul robotului telefonic.

UPDATE 3: Sunt unii care nu au înţeles nimic din această postare. Vinovaţii? Cei care trag concluzii pripite. Aşadar, dacă verificaţi acum funcţionalitatea aplicaţiei, este absolut logic şi de bun-simţ ca lucrurile povestite de mine să nu se mai întâmple, sper eu. D-aia am scris, ca să se acţioneze!

comments

9 comments On Aplicaţia Taxi Index Client îţi pune viaţa privată în pericol!

  • Si care e diferenta intre un check in si aplicatia asta? Sau ca unii aleg sa isi puna poze din baia personala?
    Tu nu vezi ca englezii vor sa restrictioneze whatsapp pentru ca nu pot fi urmarite mesajele?

    Obisnuieste-te cu tehnologia, cu bratarile de fitness, cu aplicatiile de numarat pasi. Toate ne duc spre acelasi lucru: dependenta de ele si urmarirea “baietilor destepti”.

  • @Marius Cucu Problema nu este ca cineva, care lucreaza la firma aia sau autoritatile au access la datele tale alea, lor oricum nu le pasa, ci ca ORICINE din jurul tau, ca-ti vrea binele sau nu, ca e obsedat din dragoste sau ca vrea sa te prinda in fapt, vorba vine, are access la tot istoricul tau de “navigatie” prin oras, folosind servicul de taximetrie respectiv. SI asta poate fi folosita in multe scenarii, de “apropiatii tai”.

  • Guess what:
    Contul a fost adaugat cu succes.
    Este necesar sa confirmati numarul de telefon inainte de autentificare.
    Confirmarea numarului de telefon se face printr-un apel catre dispecerat pe unul dintre numerele de mai jos, este de ajuns sa lasati sa sune de 2-3 ori dupa care puteti inchide, daca va raspunde o dispecera puteti inchide sau comunicati ca sunati pentru confirmarea numarului de telefon. Aceasta operatiune este necesara o singura data.
    Numere telefon confirmare:

  • Si inca ceva, acum ca ai AFLAT si tu defapt de ce era acel bug, poti modifica topicul ca sa nu mai sperii lumea aiurea.

    Inainte sa scrii un articol de genul asta, e de preferat sa suni acolo si sa le zici, ba, voi stiti de problema asta la aplicatia voastra? A stiti? Ok si o reparati?

    Abia apoi poti face publica o informatie de genu, ca atunci nu mai e vina ta daca vreun gigel exploateaza acel bug si provoaca daune companiei sau altor persoane, dar ai procedat ca un copil de 15 ani care descopera cum se face un script bash de scanare a serverelor linux cu o vulnerabilitate si sparge unul fara sa vrea.

    • Gigel există, cu sau fără mine. Am pus update-urile necesare. Faptul că am publicat o informație cu relevanță pentru public, nu e deloc o copilărie! Mulțumesc pentru comentarii!

  • Cateva (sau mai multe) cuvinte de la Taxi Index.

    In primul rand, tin sa-ti multumesc JOHN, pentru atentia acordata precum si pentru sugestiile facute atat noua cat si clientilor.
    Poate ca era mai corect sa ne intrebi pe noi mai intai, asa cum si-a exprimat pozitia Kriogen, caruia deasemenea ii multumesc.
    Sunt sigur insa, ca si nume mult mai mari in IT au avut diverse vulnerabilitati, descoperite sau nu intr-un moment anume si totusi au dus la bun sfarsit munca inceputa!!!
    Asa e cateodata…. pentru a face mancarea buna, de cele mai multe ori trebuie sa mai si amesteci in ea, iar pentru asta trebuie sa ridici capacul….si atunci (ghinion) se gaseste sa-ti cada o musca in ea….asta este, asa-i viata 🙁
    Orium imi cer scuze daca cineva a avut aceasta surpriza neplacuta (desi nu am primit inca nici o sesizare in acest sens) si asigur toti clientii ca acest impediment se poate rezolva extrem de rapid asa cum cu bunavointa a recomandat chiar John.
    In al doilea rand, pot sa te asigur John, ca de aproape 5 ani lucram la aceast sistem (amestecam in mancare) si totul, in primul rand pentru a face viata mai usoara tuturor (clienti, soferi de taxi, dispeceri, administratori si proprietari de masini) si nu in ultimul rand pentru eficienta – inclusiv cea financiara!
    Din 1996 ne-am asumat greseli si le-am corectat din mers, ne-am bucurat pentru fiecare reusita si ne-am suparat pentru fiecare rateu, dar inca ramane totala insatisfactie cand nu reusim sa onoram o comanda din cauza suprasolicitarii, cand apare o reclamatie intemeiata, cand un sofer este agresat fara motiv, cand aud ca un sofer este indolent si agresiv, cand pica netul, cand pica unele linii telefonice, hehe…cand pica curentul, etc…
    Poate ma considerati “lovit la cap” daca va spun ca in noaptea de revelion (vazand traficul de telefonie masiv) incercam sa gasim si sa retinem solutii viitoare de optimizare.Cred ca aceasta poate fi numita “pasiunea pentru lucrul imbunatatit continuu”.
    Cum reusim sa raspundem prin onorare la peste 12.000 de apeluri in 10 ore critice din seara si noaptea de revelion?
    Cum sa determinam soferii sa lucreze cat mai multi si mai corect in intervalele sarbatorilor legale? Sunt doar exemple…
    Solutii se gasesc, atat tehnice, administrative cat si financiare sau combinate dar ele NU VOR MULTUMI PE TOATA LUMEA!!!
    Prin urmare nu ne ramane decat sa CAUTAM, ca si pana acum SOLUTII CARE MULTUMESC PE CAT MAI MULTI, DAR CARE SA DERANJEZE PE CAT MAI PUTINI !!!!
    Cam asta incercam sa facem cand ne-ai prins “descoperiti” John 🙂
    Toti suntem supusi greselii, conteaza cat de grava este greseala, iar mai departe, cat de repede ne-o asumam si incercam sa o corectam.
    La fel de bine exista insa si momente nepotrivite, independente de greseli, mai ales atunci cand regimul de lucru este non stop si TREBUIE sa modifici totul din mers.
    Considerand ca nu veti pune semnul egal intre “a da explicatii” si “a cauta scuze”, speram sa ne credeti ca aceste randuri s-au vrut a fi explicatii datorate tuturor.Imi cer scuze pentru lipsa diacriticelor si va multumesc tuturor celor care ati avut rabdarea sa cititi aceste randuri.

    Cu respect,
    Gheoghe Ioan
    Administrator Index Taxi.

  • Ms John, nu stiam ca au aplicatie. Cu ocazia asta am instalat-o si eu pe Windows Phoneul meu. Folosesc taxiul zilnic si imi e foarte utila, pot vedea pe harta cand soferul e jos sau pot sa ii comunic sa ma astepte 2 minute pana cobor.
    La inregistrare a trebuit sa sun pt aprobare cont, nu cum ai spus tu.
    Completeaza articolul si pune si link de Windows Phine pt cei ca mine 😀

Leave a reply:

Your email address will not be published.