Ei kauan sitten Vox-verkkosivusto on hakkeroitu paljastaen näin monien puolueeseen liittyvien henkilöiden henkilötiedot ja nyt meidän on toistettava jälleen arkaluontoisten ja yksityisten tietojen löytyminen: ne kuuluvat puolueen käyttäjille. Valencian metrosovellus.
API-virhe: sovelluksen aukko
Turva-aukko sisään virallinen metrosovellus ja Valencian raitiovaunu on ollut henkilötietojen uloskäynti lähes 60.000 XNUMX käyttäjää - sanotaan pian. Epäonnistumisen on havainnut insinööri, joka ei epäröinyt tuomita tilannetta oikeudessa ja syyttää FGV:tä (Ferrocarrils de la Generalitat Valenciana) ja Proconsia (sovelluksen kehittänyt yritys) henkilötietojen suojaa koskevan oikeuden loukkaamisesta. .
Median keräämänä Valencian aukio, valitukseen on liitetty tutkimus ja virheen selitys "piste kohdalta" mikä olisi virhe sovelluksen API:ssa. Myös Espanjan tietosuojavirastolle (AEPD) on lähetetty kirje.
Paljastetut tiedot ovat hyvin vaihtelevia ja sisältävät kaiken sähköpostista, sukupuolesta tai siitä, kuinka monta kertaa henkilö on matkustanut metrolla koko nimeen, henkilöllisyystodistusnumeroon, syntymäaikaan, postiosoitteeseen ja puhelinnumeroon.
API:n suojauksen poistaminen (se ei vaadi minkäänlaista todennusta) antaa kuka tahansa tehdä a pyyntö palvelimelle ei suuria ongelmia. Insinööri on osoittanut edellä mainitulle valencialaiselle toimipisteelle, että kaikkien rekisteröityneiden käyttäjien tietoihin pääsee käsiksi suhteellisen yksinkertaisella tavalla. Epäillään, että sen hankkiminen olisi myös melko helppoa luottokortin numero matkustajista (koska tämä tietue on myös olemassa ja on mahdollista nähdä Viimeinen voimassaolopäivä ja pankki, johon ne kuuluvat), mutta insinööri ei ole yrittänyt tehdä niin "jotta ei tekisi rikosta".
Insinööri, joka haluaa pysyä nimettömänä, on arvostellut, että tämä ei ole muuta kuin seurausta siitä, että sovelluksen luominen on uskottu ihmisille, jotka ei ole pätevä sitä varten:
Todennus on edellytys kaikelle ohjelmisto julkisesta pääsystä, joka käsittelee yksityisiä tietoja, ja tässä tapauksessa on päätetty olla toteuttamatta minkäänlaista todennusta ajattelematta seurauksia. […] eivät ole pätevien ammattilaisten kehittämiä.
Asian vakavuuden osoittamiseksi insinööri valitsee raportissaan satunnaisesti henkilön, jolta yksityiskohdat kaikki hänen liikkeensä. Siten voidaan nähdä, että Valencian metrolla on La Riberassa asuva käyttäjä, joka kulkee metrolla joka päivä samaan aikaan ja matkustaa hänen kanssaan Valencian keskustaan, missä hänen työnsä sijaitsee - hänen sähköpostinsa sallii meille paljastaa myös nämä tiedot. Iltapäivällä hän palaa kaupunkiinsa metrolla Plaza de Españan pysäkiltä.
Pörssiyhtiö Ferrocarrils de la Generalitat Valenciana kertoo ei ole ennätystä tästä päätöksestä tai siitä, että asiasta on valitettu. Ainoa asia, joka tunnistaa, että maaliskuussa, kun sovellus käynnistettiin, oli virhe, mutta se on jo korjattu.
Jos käytät Valencian metroa ja sinulla on sovellusja El Confidencial noukkia insinöörin suositukset, joka suosittelee sitä vahvasti poista ja poista kaikki sovellukseen liittyvät tiedot, kunnes tämä tietoturva-aukko on virallisesti tunnustettu ja ratkaisu tarjotaan.