No fa molt que la web de Vox va ser hackejada destapant amb això les dades personals de moltes persones afins al partit i ara ens hem de tornar a fer ressò del descobert d'informació sensible i privada: la pertanyent als usuaris de la app del Metre de València.
Un error a l'API: el forat de l'app
Un forat de seguretat a l'aplicació oficial del metro i tramvia de València ha estat la porta de sortida d'informació personal de gairebé 60.000 usuaris -es diu aviat. La decisió ha estat descoberta per un enginyer que no ha dubtat a denunciar la situació en un jutjat, acusant la FGV (Ferrocarrils de la Generalitat Valenciana) i Proconsi (l'empresa que va desenvolupar l'app) de violar el dret a la protecció de dades de caràcter personal.
Segons recull el medi ValènciaPlaça, la denúncia ve acompanyada d'un estudi i explicació de la decisió «punt per punt» que estaria en un error a l'API de l'aplicació. També s'ha enviat un escrit a l'Agència Espanyola de Protecció de Dades (AEPD).
Les dades desvetllades són molt variades i inclouen des del correu electrònic, el sexe, o les vegades que ha viatjat una persona al metro al seu nom complet, número de DNI, data de naixement, adreça postal i número de telèfon.
La desprotecció de l'API (aquesta no requereix cap mena d'autenticació) possibilita a qualsevol poder fer-ne una petició al servidor sense més problema. L'enginyer ha demostrat a l'esmentat mitjà valencià abans que es pot accedir de manera relativament senzilla a les dades de tots els usuaris registrats. Se sospita que també resultaria força fàcil obtenir el número de targeta de crèdit dels viatgers (ja que també existeix aquest registre i és possible veure les dates de caducitat i el banc a què pertanyen), però l'enginyer no ha provat de fer-ho «per no incórrer en un delicte».
L'enginyer, que prefereix mantenir el seu anonimat, ha criticat que això no és res més que el resultat d'encarregar la creació d'una app a gent que no està qualificada per a això:
L'autenticació és un requisit indispensable a tot eSCADA d'accés públic que maneja informació privada i en aquest cas s'ha optat per no implementar cap mena d'autenticació sense pensar-ne en les conseqüències. […] no ha estat desenvolupat per professionals qualificats.
Per demostrar la gravetat de l'assumpte, l'enginyer al seu informe selecciona una persona a l'atzar, de la qual detalla tots els seus moviments. Es pot veure així que hi ha un viatger usuari del Metro de València que resideix a La Ribera, agafa cada dia el metro a la mateixa hora i es trasllada amb ell al centre de València, on es troba la seva feina -el correu electrònic permet revelar també aquesta dada. A la tarda, torna al vostre poble agafant el metro de la parada de Plaça d'Espanya.
L'empresa pública Ferrocarrils de la Generalitat Valenciana diu no tenir constància d'aquesta decisió ni que hi hagi cap denúncia. L'única cosa que reconeix que hi va haver alguna fallada al mes de març, quan es va llançar l'aplicació, però que ja va ser arreglat.
En cas que facis servir el Metro de València i tinguis l'aplicació, a el Confidencial recullen les recomanacions de l'enginyer, que aconsella encaridament que desinstal·lacions i esborres totes les dades relacionades amb l'app fins que es reconegui aquest forat de seguretat oficialment i donin una solució.