Неотдавна уебсайтът на Vox беше хакнат като по този начин разкрихме личните данни на много хора, свързани с партията, и сега трябва да повторим отново откриването на чувствителна и лична информация: тази, принадлежаща на потребителите на Приложение за метро Валенсия.
Грешка в API: дупката в приложението
Дупка в сигурността официалното приложение на метрото и трамваят на Валенсия е изходната врата на личната информация на почти 60.000 XNUMX потребители - се казва скоро. Провалът е открит от инженер, който не се поколеба да осъди ситуацията в съда, обвинявайки FGV (Ferrocarrils de la Generalitat Valenciana) и Proconsi (компанията, разработила приложението) в нарушаване на правото на защита на личните данни .
Както е събрано от носителя ВаленсияПлаза, жалбата е придружена от проучване и обяснение на неуспеха "точка по точка" което би било грешка в API на приложението. По същия начин е изпратено писмо до Испанската агенция за защита на данните (AEPD).
Разкритите данни са много разнообразни и включват всичко - от имейл, пол или колко пъти човек е пътувал в метрото до пълното му име, личен номер, дата на раждане, пощенски адрес и телефонен номер.
Премахването на защитата на API (той не изисква никакъв вид удостоверяване) позволява на всеки да може да направи заявка към сървъра няма голям проблем. Инженерът демонстрира на гореспоменатия валенсиански магазин, че данните на всички регистрирани потребители могат да бъдат достъпни по сравнително прост начин. Подозира се, че ще бъде доста лесно да се получи номер на кредитна карта на пътниците (тъй като този запис също съществува и е възможно да се види Срок на годност и банката, на която са), но инженерът не се е опитал да го направи, „за да не извърши престъпление“.
Инженерът, който предпочита да остане анонимен, разкритикува, че това не е нищо повече от резултат от поверяването на създаването на приложение на хора, които не е квалифициран за него:
Удостоверяването е предпоставка за всичко софтуер на публичен достъп, който обработва лична информация и в този случай е решено да не се прилага никакъв вид удостоверяване, без да се мисли за последствията. […] не е разработен от квалифицирани специалисти.
За да демонстрира сериозността на въпроса, инженерът в доклада си избира човек на случаен принцип, от когото подробности всичките му движения. По този начин може да се види, че има потребител на метрото във Валенсия, който живее в La Ribera, взима метрото по едно и също време всеки ден и пътува с него до центъра на Валенсия, където се намира работата му - неговият имейл ни позволява да разкрие и тези данни. Следобед той се връща в града си с метрото от спирка Plaza de España.
Публичната компания Ferrocarrils de la Generalitat Valenciana казва нямат запис на това решение или че има някаква жалба. Единственото нещо, което разпознава, че е имало бъг през месец март, когато е стартирано приложението, но че вече е оправено.
В случай, че използвате метрото на Валенсия и имате приложениетоВ El Confidencial Вдигни препоръките на инженера, който силно препоръчва това деинсталирайте и изтрийте всички данни, свързани с приложението, докато тази дупка в сигурността не бъде официално призната и не бъде дадено решение.