נכנסתם למונית של Gett (לשעבר גט-טקסי), נסעתם, ירדתם ביעד ושילמתם באשראי. מי שיודע על הנסיעה הזאת זה אתם, הנהג וחברת גט טקסי. הייתם מצפים שזה גם יישאר בקבוצה הזאת. אלא שבדיקת NEXTER מראה שהמידע מועבר לכל מי שמבקש אותו, בלי לשאול שאלות.
במספר ניסיונות שלנו לבקש מידע על לקוחות מנציגי גט-טקסי, הם מסרו לנו אותו בלי לשאול מי אנחנו או מה הקשר שלנו ללקוח שעבורו אנחנו מבקשים את המידע, ובלי לאמת מול הלקוח שהוא אישר להעביר את המידע.
אפשר לקבל פרטים לא שלי בבקשה?
במקרה אחד, שלחה תחקירנית NEXTER הודעה לגט-טקסי דרך עמוד הפייסבוק וביקשה לקבל חשבוניות שלה מהשבועות האחרונים. נציג החברה ביקש ממנה מספר טלפון, והיא מסרה מספר של חבר (שאת הסכמתו קיבלנו לצורך התחקיר). תוך מספר שניות נשלח לה בפייסבוק קובץ אקסל ובו פירוט הנסיעות והחשבוניות שלו. למרות שהמספר לא שייך לה והחשבון לא רשום על שמה, היא לא נשאלה מי היא, מי בעל החשבון, ומה הקשר ביניהם.
בעל החשבון האמיתי, מצידו, לא נשאל אם הוא מסכים שפרטיו יישלחו לצד שלישי. מלבד זאת, גם לאחר שהמידע עליו נשלח, הוא לא קיבל על כך שום הודעה מגט-טקסי, בסמס או באפליקציה. בשביל להתחזות אליו אפילו לא היה צריך לדעת את שמו או פרט מזהה אחר. רק מספר טלפון.
תחקירן נוסף פנה בשעה אחרת ביום לחברה, גם כן דרך עמוד הפייסבוק, ביקש לקבל מידע על הנסיעות שלו וכתב שהמספר שמנוי לשירות הוא של "חברה שלי". כלומר: הוא יידע באופן חד משמעי את גט טקסי שלא מדובר במספר שלו. הוא לא התחזה אליה, אלא ביקש פרטים אישיים מהטלפון שלה.
תחילה החברה לא מצאה את הפרטים, וביקשה מספר טלפון אחר. התחקירן שלח מספר טלפון של חברה אחרת, וקיבל קובץ מפורט עם כלל הקבלות וברכת יום נעים. גם כאן, גט-טקסי לא אימתה שמדובר בבני זוג (אגב, לא מדובר בבני זוג בכלל), לא אימתה שבת הזוג מאשרת לבן זוגה לקבל את הפרטים. הלקוחה שמסרנו את מספר הטלפון שלה לא קיבלה הודעה על כך שמישהו ביקש את הפרטים שלה בשמה. גט-טקסי פשוט מסרה אותם לצד שלישי, בניגוד מוחלט להצהרת הפרטיות שלה.
מאיפה נסעת וסיומת האשראי שלך
כל מה שצריך בשביל לקבל מידע מגט-טקסי על כל אדם אחר הוא מספר הטלפון שלו. אפשר גם לנחש מספר טלפון, גט-טקסי לא חשדה כשניתן לה מספר שגוי ולא בדקה אם אנחנו יודעים בכלל למי הטלפון שייך. ומה כולל הקובץ? מדובר בטבלה שמסדרת את הנסיעות האחרונות ובה פרטים טכניים כמו מספר סידורי של הנסיעה ומחיר, ופרטים יותר אישיים כמו נקודת המוצא (אך לא היעד) ותאריך נסיעה.
פרטים כאלה יכולים לשמש אנשים שרוצים לעקוב אחרי עובדים או בני זוג, סטוקרים שרוצים להשיג כתובות של נשים או לגלות מה הרגלי הנסיעה שלהן - וכל זה בלי שאנשים יידעו שמישהו קיבל עליהם מידע ועוקב אחריהם.
מספיקות כמה שורות בטבלה, הצלבה פשוטה וכוונות רעות או פליליות, שיכולות להסגיר מקום מגורים של אדם מסוים, מקום עבודתו, איפה הוא מבלה ומתי הוא או היא יוצאים מהבית, מהעבודה או ממקום הבילוי הקבוע. אפשר באופן הזה גם להפר חסיון של עורכי דין, רופאים, פסיכולוגים ובעלי מקצוע אחרים שהכתובת שלהם ידועה, ורואים מתי לקוח מסויים יוצא מכתובתם באמצעות מונית.
מעבר לפרטים האלה, הקובץ כולל גם קישור לחשבונית מקוונת לכל נסיעה, שבה מופיעה גם כתובת מייל של הלקוח, והפרט החשוב ביותר - 4 ספרות של כרטיס אשראי. אמנם אי אפשר לבצע תשלום רק בעזת ארבע הספרות הללו, אבל יחד עם מספר הטלפון הן משמשות אמצעי זיהוי בחברות תקשורת וחברות אחרות.
Gett: מדובר במקרים בודדים
בתנאי השימוש של גט-טקסי עצמה נכתב ש"החברה לא תעביר לצדדים שלישיים את המידע האישי" למעט מקרים חריגים. במקרים החריגים מפורטים הסכמה של הלקוח, ניתוחים סטטיסטיים אנונימיים וצווי בית משפט. מסירת מידע למישהו שסתם ביקש אותו בהחלט לא מופיעה שם.
מ Gett נמסר בתגובה: "טרם העברת כל מידע אישי מכל סוג שהוא באמצעות כל כלי תקשורת בין החברה ללקוח, מבקשים נציגי השרות, על פי הנחיות ברורות, שם מלא, 4 ספרות של כרטיס האשראי, כתובת דוא"ל ומועד הנסיעה האחרונה. מדובר במקרים בודדים, הנובעים מאי הבנה נקודתי בקרב אחד מנציגי השרות. המקרה טופל, הנהלים חודדו ואנו סבורים ובטוחים כי מקרים מסוג זה לא יחזרו על עצמם בעתיד".