Il n'y a pas longtemps le site Vox a été piraté découvrant ainsi les données personnelles de nombreuses personnes liées au parti et maintenant nous devons à nouveau faire écho à la découverte d'informations sensibles et privées: celles appartenant aux utilisateurs du Application du métro de Valence.
Un bug de l'API : le trou de l'application
Une faille de sécurité dans l'application officielle du métro et le tram de Valence a été la porte de sortie des informations personnelles de près de 60.000 XNUMX utilisateurs -c'est dit bientôt. L'échec a été découvert par un ingénieur qui n'a pas hésité à dénoncer la situation devant les tribunaux, accusant le FGV (Ferrocarrils de la Generalitat Valenciana) et Proconsi (la société qui a développé l'application) de violer le droit à la protection des données à caractère personnel .
Tel que collecté par le média ValencePlaza, la plainte est accompagnée d'une étude et explication de la panne "point par point" ce qui serait une erreur dans l'API de l'application. De même, une lettre a été envoyée à l'Agence espagnole de protection des données (AEPD).
Les données révélées sont très variées et comprennent tout, de l'e-mail, du sexe ou du nombre de fois qu'une personne a voyagé dans le métro à son nom complet, son numéro d'identification, sa date de naissance, son adresse postale et son numéro de téléphone.
La déprotection de l'API (elle ne nécessite aucun type d'authentification) permet à n'importe qui de pouvoir faire un demande au serveur pas de problème majeur. L'ingénieur a démontré au point de vente valencien susmentionné que les données de tous les utilisateurs enregistrés sont accessibles de manière relativement simple. On soupçonne qu'il serait également assez facile d'obtenir le numéro de carte de crédit des voyageurs (puisque cet enregistrement existe aussi et qu'il est possible de voir Dates d'expiration et la banque à laquelle ils appartiennent), mais l'ingénieur n'a pas tenté de le faire "pour ne pas commettre de crime".
L'ingénieur, qui préfère rester anonyme, a critiqué le fait que ce n'est rien de plus que le résultat de confier la création d'une application à des personnes qui n'est pas qualifié pour cela:
L'authentification est une condition préalable à tout ,software d'accès public qui traite des informations privées et dans ce cas, il a été décidé de ne mettre en œuvre aucun type d'authentification sans réfléchir aux conséquences. […] n'a pas été développé par des professionnels qualifiés.
Pour démontrer la gravité de l'affaire, l'ingénieur choisit dans son rapport une personne au hasard, parmi laquelle des détails tous ses mouvements. Ainsi, on peut voir qu'il y a un utilisateur du métro de Valence qui vit à La Ribera, prend le métro à la même heure tous les jours et se rend avec lui au centre de Valence, où se trouve son travail -son e-mail nous permet pour révéler également ces données. Dans l'après-midi, il retourne dans sa ville en prenant le métro à l'arrêt Plaza de España.
L'entreprise publique Ferrocarrils de la Generalitat Valenciana dit n'avoir aucun dossier de cette décision ou qu'il y ait une plainte. La seule chose qui reconnaît qu'il y a eu un bug au mois de mars, lors du lancement de l'application, mais qu'il a déjà été corrigé.
Si vous utilisez le métro de Valence et que vous avez l'application, à Le Confidentiel Récupérer les recommandations de l'ingénieur, qui recommande fortement que désinstaller et supprimer toutes les données liées à l'application jusqu'à ce que cette faille de sécurité soit officiellement reconnue et qu'une solution soit donnée.