Nedavno web stranica Voxa je hakirana otkrivajući tako osobne podatke mnogih ljudi povezanih sa strankom, a sada moramo ponoviti otkriće osjetljivih i privatnih podataka: onih koji pripadaju korisnicima Aplikacija metroa u Valenciji.
API bug: rupa u aplikaciji
Sigurnosna rupa službena aplikacija podzemne željeznice i tramvaj u Valenciji bio je izlaz osobnih podataka gotovo 60.000 korisnika -kaže se uskoro. Kvar je otkrio inženjer koji nije oklijevao osuditi situaciju na sudu, optužujući FGV (Ferrocarrils de la Generalitat Valenciana) i Proconsi (tvrtku koja je razvila aplikaciju) za kršenje prava na zaštitu podataka osobne prirode .
Kako je prikupio medij ValenciaPlaza, uz pritužbu se prilaže elaborat i objašnjenje kvara "točku po točku" što bi bila greška u API-ju aplikacije. Isto tako, pismo je poslano španjolskoj Agenciji za zaštitu podataka (AEPD).
Podaci koji su otkriveni vrlo su raznoliki i uključuju sve, od e-pošte, spola ili broja putovanja podzemnom željeznicom do punog imena, osobnog broja, datuma rođenja, poštanske adrese i telefonskog broja.
Uklanjanje zaštite API-ja (ne zahtijeva nikakvu vrstu provjere autentičnosti) omogućuje svakome da može napraviti zahtjev poslužitelju nema većih problema. Inženjer je gore navedenom valencijskom prodajnom mjestu pokazao da se podacima svih registriranih korisnika može pristupiti na relativno jednostavan način. Sumnja se da bi također bilo prilično lako nabaviti broj kreditne kartice putnika (budući da i taj zapis postoji i moguće ga je vidjeti Datumi isteka i banka kojoj pripadaju), ali inženjer to nije pokušao učiniti "kako ne bi počinio kazneno djelo".
Inženjer, koji želi ostati anoniman, kritizirao je da ovo nije ništa drugo nego rezultat povjeravanja izrade aplikacije ljudima koji nije kvalificiran za to:
Autentifikacija je preduvjet za sve softver javnog pristupa koji rukuje privatnim informacijama iu ovom slučaju je odlučeno da se ne provodi nijedna vrsta autentifikacije bez razmišljanja o posljedicama. […] nisu razvili kvalificirani stručnjaci.
Kako bi pokazao ozbiljnost stvari, inženjer u svom izvješću nasumično odabire osobu od koje pojedinosti sve njegove pokrete. Tako se može vidjeti da postoji korisnik metroa u Valenciji koji živi u La Riberi, svaki dan se vozi metroom u isto vrijeme i putuje s njim do centra Valencije, gdje se nalazi njegov posao - njegova e-pošta nam dopušta otkriti i te podatke. Poslijepodne se vraća u svoj grad metroom sa stanice Plaza de España.
Kaže javno poduzeće Ferrocarrils de la Generalitat Valenciana nemaju evidenciju ove odluke ili da postoji prigovor. Jedino što prepoznaje da je u mjesecu ožujku, kada je aplikacija pokrenuta, bio bug, ali da je on već popravljen.
U slučaju da koristite metro u Valenciji i imate aplikacijuNa povjerljiv pokupiti preporuke inženjera, koji to strogo savjetuje deinstalirati i izbrisati sve podatke koji se odnose na aplikaciju dok se ova sigurnosna rupa službeno ne prepozna i ne nađe rješenje.