Ne tako davno web stranica Voxa je hakovana čime se otkrivaju lični podaci mnogih ljudi povezanih sa strankom i sada moramo ponovo da ponovimo otkriće osetljivih i privatnih informacija: onih koje pripadaju korisnicima Aplikacija metroa u Valenciji.
API greška: rupa u aplikaciji
Sigurnosna rupa unutra zvanična aplikacija za metro a tramvaj Valensije je bio izlazna vrata ličnih podataka skoro 60.000 korisnika -reče se uskoro. Grešku je otkrio inženjer koji nije oklijevao da osudi situaciju na sudu, optužujući FGV (Ferrocarrils de la Generalitat Valenciana) i Proconsi (kompaniju koja je razvila aplikaciju) za kršenje prava na zaštitu podataka lične prirode .
Kako je prikupio medij ValenciaPlaza, uz pritužbu je priložena studija i objašnjenje kvara "tačku po tačku" što bi bila greška u API-ju aplikacije. Isto tako, pismo je poslano Španskoj agenciji za zaštitu podataka (AEPD).
Otkriveni podaci su vrlo raznoliki i uključuju sve, od e-pošte, spola ili broja puta kada je osoba putovala podzemnom željeznicom do punog imena, lične karte, datuma rođenja, poštanske adrese i broja telefona.
Ukidanje zaštite API-ja (ne zahtijeva nikakvu vrstu provjere autentičnosti) omogućava svakome da može napraviti zahtjev serveru nema većeg problema. Inženjer je već pomenutom valencijskom izdanju pokazao da se podacima svih registrovanih korisnika može pristupiti na relativno jednostavan način. Sumnja se da bi bilo i dosta lako nabaviti broj kreditne kartice putnika (pošto i taj zapis postoji i moguće je vidjeti Datumi isteka i banke kojoj pripadaju), ali inženjer to nije pokušao učiniti "da ne bi počinio krivično djelo".
Inženjer, koji radije ostaje anoniman, kritizirao je da to nije ništa drugo nego rezultat povjeravanja izrade aplikacije ljudima koji nije kvalifikovan za to:
Autentifikacija je preduvjet za sve softver javnog pristupa koji rukuje privatnim informacijama i u ovom slučaju je odlučeno da se ne implementira bilo kakva vrsta autentifikacije bez razmišljanja o posljedicama. […] nije razvijen od strane kvalifikovanih stručnjaka.
Da bi pokazao ozbiljnost stvari, inženjer u svom izveštaju bira nasumično osobu od koje detalji svim njegovim pokretima. Tako se može vidjeti da postoji korisnik metroa u Valenciji koji živi u La Riberi, svaki dan ide metroom u isto vrijeme i sa njim putuje do centra Valensije, gdje se nalazi njegov rad - dopušta nam njegov email da otkrije i te podatke. Popodne se vraća u svoj grad metroom sa stanice Plaza de España.
Javno preduzeće Ferrocarrils de la Generalitat Valenciana kaže nemaju evidenciju ovog rješenja ili da postoji prigovor. Jedina stvar koja prepoznaje da je došlo do greške u mjesecu martu, kada je aplikacija pokrenuta, ali da je već ispravljena.
U slučaju da koristite Valencia Metro i imate aplikacijuu El Confidencial pokupiti preporuke inženjera, koji to snažno savjetuje deinstalirajte i izbrišite svi podaci vezani za aplikaciju dok se ova sigurnosna rupa službeno ne prepozna i ne da rješenje.