Ikke længe siden Vox hjemmeside blev hacket derved afsløre personlige data for mange personer relateret til festen, og nu er vi nødt til igen at gentage opdagelsen af følsomme og private oplysninger: som tilhører brugerne af Valencia Metro app.
En API-fejl: app-hullet
Et sikkerhedshul i den officielle metro-app og sporvogn af Valencia har været udgangsdøren til personlige oplysninger om næsten 60.000 brugere - siges det snart. Fejlen er blevet opdaget af en ingeniør, der ikke har tøvet med at fordømme situationen i retten, og anklager FGV (Ferrocarrils de la Generalitat Valenciana) og Proconsi (virksomheden, der udviklede appen) for at krænke retten til databeskyttelse af personlig karakter. .
Som indsamlet af mediet Valencia Square, er klagen ledsaget af en undersøgelse og forklaring på fejlen "punkt for punkt" hvilket ville være en fejl i applikationens API. Ligeledes er der sendt et brev til det spanske datatilsyn (AEPD).
De afslørede data er meget varierede og omfatter alt fra e-mail, køn eller det antal gange en person har rejst med metroen til deres fulde navn, ID-nummer, fødselsdato, postadresse og telefonnummer.
Afbeskyttelsen af API'et (det kræver ikke nogen form for godkendelse) giver enhver mulighed for at lave en anmodning til serveren intet større problem. Ingeniøren har demonstreret over for den førnævnte valencianske forretning, at alle registrerede brugeres data kan tilgås på en forholdsvis enkel måde. Det er mistanke om, at det også ville være ret nemt at opnå kreditkortnummer af de rejsende (da den registrering også eksisterer, og det er muligt at se Udløbsdatoer og den bank, de tilhører), men ingeniøren har ikke forsøgt at gøre det "for ikke at begå en forbrydelse".
Ingeniøren, der foretrækker at være anonym, har kritiseret, at dette ikke er andet end resultatet af at overlade oprettelsen af en app til folk, der er ikke kvalificeret for det:
Autentificering er en forudsætning for alt software af offentlig adgang, der håndterer private oplysninger, og i dette tilfælde er det besluttet ikke at implementere nogen form for autentificering uden at tænke over konsekvenserne. […] er ikke udviklet af kvalificerede fagfolk.
For at demonstrere sagens alvor udvælger ingeniøren i sin rapport en tilfældig person, fra hvem detaljer alle hans bevægelser. Det kan således ses, at der er en bruger af Valencia Metro, som bor i La Ribera, tager metroen på samme tid hver dag og rejser med ham til centrum af Valencia, hvor hans arbejde er placeret -hans e-mail tillader os at afsløre også disse data. Om eftermiddagen vender han tilbage til sin by og tager metroen fra stoppestedet Plaza de España.
Det offentlige selskab Ferrocarrils de la Generalitat Valenciana siger har ingen rekord denne kendelse, eller at der er nogen klage. Det eneste, der genkender, at der var en fejl i marts måned, hvor applikationen blev lanceret, men at den allerede er rettet.
I tilfælde af at du bruger Valencia Metro og har applikationeni Den Fortrolige indsamle anbefalingerne fra ingeniøren, som stærkt tilråder det afinstallere og slette alle data relateret til appen indtil dette sikkerhedshul er officielt anerkendt og en løsning er givet.