Nedávno web Vox byl napaden čímž jsme odkryli osobní údaje mnoha lidí spřízněných s touto stranou a nyní musíme znovu připomenout odhalení citlivých a soukromých informací: těch, které patří uživatelům Aplikace metra ve Valencii.
Chyba API: díra v aplikaci
Bezpečnostní díra uvnitř oficiální aplikace metra a tramvaj ve Valencii byla únikovými dveřmi z osobních informací téměř 60.000 XNUMX uživatelů - říká se brzy. Selhání bylo zjištěno inženýrem, který neváhal situaci odsoudit u soudu a obvinil FGV (Ferrocarrils de la Generalitat Valenciana) a Proconsi (společnost, která aplikaci vyvinula) z porušení práva na ochranu osobních údajů. .
Shromážděné médiem Náměstí Valencie, k reklamaci je přiložena studie a vysvětlení selhání "bod po bodu" což by byla chyba v API aplikace. Podobně byl zaslán dopis španělské agentuře pro ochranu údajů (AEPD).
Odhalená data jsou velmi různorodá a zahrnují vše od e-mailu, pohlaví nebo počtu, kolikrát člověk cestoval metrem, až po jeho celé jméno, identifikační číslo, datum narození, poštovní adresu a telefonní číslo.
Odstranění ochrany API (nevyžaduje žádný typ autentizace) umožňuje komukoli vytvořit a požadavek na server žádný zásadní problém. Technik výše uvedenému valencijskému outletu ukázal, že k údajům všech registrovaných uživatelů lze přistupovat relativně jednoduchým způsobem. Existuje podezření, že by bylo také docela snadné získat číslo kreditní karty cestujících (protože tento záznam také existuje a je možné jej vidět Data vypršení platnosti a banka, které patří), ale inženýr se o to nepokusil, „aby se nedopustil trestného činu“.
Inženýr, který chce zůstat v anonymitě, kritizoval, že nejde o nic jiného než o výsledek svěření vytvoření aplikace lidem, kteří není kvalifikovaný za to:
Předpokladem všeho je autentizace software veřejného přístupu, který zpracovává soukromé informace, a v tomto případě bylo rozhodnuto neimplementovat žádný typ autentizace bez přemýšlení o důsledcích. […] nebyl vyvinut kvalifikovanými odborníky.
Aby demonstroval vážnost věci, inženýr ve své zprávě náhodně vybere osobu, z níž podrobnosti všechny jeho pohyby. Je tedy vidět, že existuje uživatel metra ve Valencii, který žije v La Ribera, jezdí metrem každý den ve stejnou dobu a cestuje s ním do centra Valencie, kde se nachází jeho práce - jeho e-mail nám umožňuje odhalit také tato data. Odpoledne se vrací do svého města metrem ze zastávky Plaza de España.
Říká veřejná společnost Ferrocarrils de la Generalitat Valenciana nemají žádný záznam tohoto rozsudku nebo že existuje nějaká stížnost. Jediná věc, která pozná, že došlo k chybě v měsíci březnu, kdy byla aplikace spuštěna, ale že již byla opravena.
V případě, že používáte metro ve Valencii a máte aplikaciv El Confidencial sbírat doporučení inženýra, který to důrazně doporučuje odinstalovat a smazat všechna data související s aplikací, dokud nebude tato bezpečnostní díra oficiálně uznána a nebude poskytnuto řešení.