منذ وقت ليس ببعيد تم اختراق موقع Vox وبالتالي الكشف عن البيانات الشخصية للعديد من الأشخاص المرتبطين بالحزب والآن علينا أن نكرر مرة أخرى اكتشاف المعلومات الحساسة والخاصة: تلك التي تخص مستخدمي التطبيق مترو فالنسيا.
خطأ API: ثقب التطبيق
ثغرة أمنية في تطبيق مترو الانفاق الرسمي وكان ترام فالنسيا هو باب الخروج للمعلومات الشخصية لـ ما يقرب من 60.000 مستخدم -يقال قريبا. تم اكتشاف الفشل من قبل مهندس لم يتردد في التنديد بالموقف في المحكمة ، واتهم FGV (Ferrocarrils de la Generalitat Valenciana) و Proconsi (الشركة التي طورت التطبيق) بانتهاك الحق في حماية البيانات ذات الطابع الشخصي .
كما تم جمعها بواسطة الوسيط فالنسيا بلازا، الشكوى مصحوبة بدراسة و شرح الفشل "نقطة بنقطة" والذي سيكون خطأ في واجهة برمجة التطبيقات للتطبيق. وبالمثل ، تم إرسال خطاب إلى وكالة حماية البيانات الإسبانية (AEPD).
البيانات التي تم الكشف عنها متنوعة للغاية وتشمل كل شيء من البريد الإلكتروني والجنس أو عدد المرات التي سافر فيها الشخص في مترو الأنفاق إلى الاسم الكامل ورقم الهوية وتاريخ الميلاد والعنوان البريدي ورقم الهاتف.
إن الحرمان من حماية واجهة برمجة التطبيقات (لا يتطلب أي نوع من المصادقة) يسمح لأي شخص أن يكون قادرًا على إجراء ملف طلب للخادم لا توجد مشكلة كبيرة. أوضح المهندس لمنفذ Valencian المذكور أعلاه أنه يمكن الوصول إلى بيانات جميع المستخدمين المسجلين بطريقة بسيطة نسبيًا. يُشتبه في أنه سيكون من السهل جدًا الحصول على رقم بطاقة الائتمان للمسافرين (لأن هذا السجل موجود أيضًا ومن الممكن رؤية تواريخ الانتهاء والبنك الذي ينتمون إليه) ، لكن المهندس لم يحاول ذلك "حتى لا يرتكبوا جريمة".
انتقد المهندس ، الذي يفضل عدم الكشف عن هويته ، أن هذا ليس أكثر من نتيجة تكليف بإنشاء تطبيق للأشخاص الذين غير مؤهل لذلك:
المصادقة شرط أساسي لكل شيء نظام البرمجيات من الوصول العام الذي يتعامل مع المعلومات الخاصة وفي هذه الحالة تقرر عدم تنفيذ أي نوع من المصادقة دون التفكير في العواقب. [...] لم يتم تطويره بواسطة متخصصين مؤهلين.
لإثبات جدية الأمر ، يختار المهندس في تقريره شخصًا عشوائيًا ، ومنه تفاصيل كل تحركاته. وبالتالي ، يمكن ملاحظة أن هناك مستخدمًا لمترو فالنسيا يعيش في لا ريبيرا ، ويأخذ المترو في نفس الوقت كل يوم ويسافر معه إلى وسط فالنسيا ، حيث يقع عمله - يتيح لنا البريد الإلكتروني هذا للكشف عن تلك البيانات أيضًا. في فترة ما بعد الظهر ، يعود إلى بلدته مستقلًا المترو من محطة بلازا دي إسبانيا.
تقول الشركة العامة Ferrocarrils de la Generalitat Valenciana ليس لديهم سجل من هذا الحكم أو أن هناك شكوى. الشيء الوحيد الذي يدرك أنه كان هناك خطأ في شهر مارس ، عندما تم إطلاق التطبيق ، ولكن تم إصلاحه بالفعل.
في حالة استخدام مترو فالنسيا ولديك التطبيقفي والسرية يلتقط توصيات المهندس الذي ينصح بشدة بذلك إلغاء التثبيت والحذف جميع البيانات المتعلقة بالتطبيق حتى يتم التعرف على هذا الثقب الأمني رسميًا وتقديم حل.