Vor kurzem Die Vox-Website wurde gehackt Dadurch werden die persönlichen Daten vieler Personen aufgedeckt, die mit der Partei in Verbindung stehen, und jetzt müssen wir die Entdeckung sensibler und privater Informationen erneut wiederholen: die der Benutzer der Valencia U-Bahn-App.
Ein API-Bug: das App-Loch
Eine Sicherheitslücke drin die offizielle U-Bahn-App und Straßenbahn von Valencia war die Ausgangstür für persönliche Informationen fast 60.000 Benutzer - es wird bald gesagt. Der Fehler wurde von einem Ingenieur entdeckt, der nicht gezögert hat, die Situation vor Gericht anzuprangern und die FGV (Ferrocarrils de la Generalitat Valenciana) und Proconsi (das Unternehmen, das die App entwickelt hat) beschuldigt, das Recht auf Datenschutz persönlicher Art verletzt zu haben .
Wie vom Medium gesammelt Valencia-Platz, die Beschwerde wird von einer Studie begleitet und Erklärung des Fehlers "Punkt für Punkt" was ein Fehler in der API der Anwendung wäre. Ebenso wurde ein Schreiben an die spanische Datenschutzbehörde (AEPD) gesendet.
Die offengelegten Daten sind sehr unterschiedlich und umfassen alles von E-Mail, Geschlecht oder wie oft eine Person mit der U-Bahn gefahren ist, bis hin zu ihrem vollständigen Namen, Ausweisnummer, Geburtsdatum, Postanschrift und Telefonnummer.
Die Entschützung der API (es erfordert keinerlei Authentifizierung) ermöglicht es jedem, eine Anfrage an den Server kein großes Problem. Der Ingenieur hat der oben genannten valencianischen Verkaufsstelle gezeigt, dass auf die Daten aller registrierten Benutzer auf relativ einfache Weise zugegriffen werden kann. Es wird vermutet, dass es auch recht einfach wäre, die zu beschaffen Kreditkartennummer der Reisenden (da auch diese Aufzeichnung existiert und einsehbar ist Ablaufdaten und der Bank, der sie gehören), aber der Ingenieur hat dies nicht versucht, "um keine Straftat zu begehen".
Der Ingenieur, der lieber anonym bleiben möchte, kritisiert, dass dies nichts anderes sei, als Menschen, die die Erstellung einer App anvertrauen ist nicht qualifiziert dafür:
Authentifizierung ist eine Voraussetzung für alles Software. des öffentlichen Zugriffs, der mit privaten Informationen umgeht, und in diesem Fall wurde entschieden, keinerlei Art von Authentifizierung zu implementieren, ohne über die Konsequenzen nachzudenken. […] wurde nicht von qualifizierten Fachleuten entwickelt.
Um den Ernst der Sache zu demonstrieren, wählt der Ingenieur in seinem Bericht zufällig eine Person aus, von wem Einzelheiten all seine Bewegungen. So ist zu sehen, dass es einen Benutzer der Metro Valencia gibt, der in La Ribera wohnt, jeden Tag zur gleichen Zeit die Metro nimmt und mit ihm ins Zentrum von Valencia fährt, wo sich seine Arbeit befindet – seine E-Mail erlaubt es uns auch diese Daten preiszugeben. Am Nachmittag kehrt er mit der U-Bahn von der Haltestelle Plaza de España in seine Stadt zurück.
Das teilt das öffentliche Unternehmen Ferrocarrils de la Generalitat Valenciana mit keine Aufzeichnungen haben dieses Urteils oder dass eine Beschwerde vorliegt. Das einzige, was erkennt, dass es im Monat März, als die Anwendung gestartet wurde, einen Fehler gab, der aber bereits behoben wurde.
Falls Sie die U-Bahn von Valencia benutzen und die Anwendung habenin Die vertrauliche abholen die Empfehlungen des Ingenieurs, der dringend dazu rät deinstallieren und löschen alle Daten im Zusammenhang mit der App, bis diese Sicherheitslücke offiziell erkannt und eine Lösung gegeben ist.