Οχι πολύ καιρό πριν ο ιστότοπος του Vox παραβιάστηκε αποκαλύπτοντας έτσι τα προσωπικά δεδομένα πολλών ατόμων που σχετίζονται με το κόμμα και τώρα πρέπει να επαναλάβουμε την ανακάλυψη ευαίσθητων και ιδιωτικών πληροφοριών: ότι ανήκουν στους χρήστες του Εφαρμογή μετρό της Βαλένθια.
Ένα σφάλμα API: η τρύπα της εφαρμογής
Μια τρύπα ασφαλείας την επίσημη εφαρμογή του μετρό και το τραμ της Βαλένθια ήταν η πόρτα εξόδου των προσωπικών πληροφοριών του σχεδόν 60.000 χρήστες - λέγεται σύντομα. Η αποτυχία ανακαλύφθηκε από έναν μηχανικό που δεν δίστασε να καταγγείλει την κατάσταση στο δικαστήριο, κατηγορώντας την FGV (Ferrocarrils de la Generalitat Valenciana) και την Proconsi (η εταιρεία που ανέπτυξε την εφαρμογή) για παραβίαση του δικαιώματος προστασίας δεδομένων προσωπικού χαρακτήρα .
Όπως συλλέχθηκε από το μέσο Πλατεία Βαλένθια, η καταγγελία συνοδεύεται από μελέτη και εξήγηση της αποτυχίας "σημείο προς σημείο" το οποίο θα ήταν σφάλμα στο API της εφαρμογής. Ομοίως, έχει σταλεί επιστολή στην Ισπανική Υπηρεσία Προστασίας Δεδομένων (AEPD).
Τα δεδομένα που αποκαλύφθηκαν είναι πολύ διαφορετικά και περιλαμβάνουν τα πάντα, από email, φύλο ή τον αριθμό των φορών που έχει ταξιδέψει ένα άτομο στο μετρό μέχρι το πλήρες όνομά του, τον αριθμό ταυτότητας, την ημερομηνία γέννησης, την ταχυδρομική διεύθυνση και τον αριθμό τηλεφώνου του.
Η αποπροστασία του API (δεν απαιτεί κανένα είδος ελέγχου ταυτότητας) επιτρέπει σε οποιονδήποτε να μπορεί να κάνει αίτημα στον διακομιστή κανένα σημαντικό πρόβλημα. Ο μηχανικός απέδειξε στο προαναφερθέν κατάστημα της Βαλένθια ότι τα δεδομένα όλων των εγγεγραμμένων χρηστών είναι προσβάσιμα με σχετικά απλό τρόπο. Υπάρχει υποψία ότι θα ήταν επίσης αρκετά εύκολο να αποκτήσετε το αριθμό πιστωτικής κάρτας των ταξιδιωτών (αφού υπάρχει και αυτή η καταγραφή και είναι δυνατό να δει κανείς το Ημερομηνίες λήξης και την τράπεζα στην οποία ανήκουν), αλλά ο μηχανικός δεν έχει προσπαθήσει να το κάνει «για να μην διαπράξει έγκλημα».
Ο μηχανικός, ο οποίος προτιμά να παραμείνει ανώνυμος, επέκρινε ότι αυτό δεν είναι τίποτα άλλο από το αποτέλεσμα της ανάθεσης της δημιουργίας μιας εφαρμογής σε άτομα που δεν έχει προσόντα για αυτό:
Ο έλεγχος ταυτότητας είναι προϋπόθεση για όλα λογισμικό δημόσιας πρόσβασης που χειρίζεται ιδιωτικές πληροφορίες και σε αυτή την περίπτωση έχει αποφασιστεί να μην εφαρμοστεί κανενός είδους έλεγχος ταυτότητας χωρίς να σκεφτόμαστε τις συνέπειες. […] δεν έχει αναπτυχθεί από ειδικευμένους επαγγελματίες.
Για να αποδείξει τη σοβαρότητα του θέματος, ο μηχανικός στην έκθεσή του επιλέγει ένα άτομο τυχαία, από το οποίο Λεπτομέριες όλες του τις κινήσεις. Έτσι, φαίνεται ότι υπάρχει ένας χρήστης του μετρό της Βαλένθια που ζει στη La Ribera, παίρνει το μετρό την ίδια ώρα κάθε μέρα και ταξιδεύει μαζί του στο κέντρο της Βαλένθια, όπου βρίσκεται η δουλειά του -μας επιτρέπει το email του για να αποκαλύψει και αυτά τα δεδομένα. Το απόγευμα, επιστρέφει στην πόλη του παίρνοντας το μετρό από τη στάση Plaza de España.
Η δημόσια εταιρεία Ferrocarrils de la Generalitat Valenciana λέει δεν έχουν κανένα αρχείο αυτής της απόφασης ή ότι υπάρχει οποιαδήποτε καταγγελία. Το μόνο που αναγνωρίζει ότι υπήρχε ένα σφάλμα τον Μάρτιο, όταν ξεκίνησε η εφαρμογή, αλλά ότι έχει ήδη διορθωθεί.
Σε περίπτωση που χρησιμοποιείτε το μετρό της Βαλένθια και έχετε την εφαρμογήΣτο El Confidencial μαζεύω τις συστάσεις του μηχανικού, ο οποίος το συμβουλεύει ανεπιφύλακτα απεγκατάσταση και διαγραφή όλα τα δεδομένα που σχετίζονται με την εφαρμογή μέχρι να αναγνωριστεί επίσημα αυτό το κενό ασφαλείας και να δοθεί λύση.