Nemrég a Vox weboldalát feltörték ezáltal sok, a bulihoz kötődő személy személyes adatait tárjuk fel, és most ismét meg kell ismételnünk az érzékeny és magánjellegű információk felfedezését: a Valencia metró alkalmazás.
Egy API hiba: az alkalmazás lya
Biztonsági rés a hivatalos metróalkalmazás és Valencia villamosa volt a személyes adatok kijárati ajtója közel 60.000 XNUMX felhasználó -mondják hamarosan. A kudarcot egy mérnök fedezte fel, aki nem habozott feljelenteni a helyzetet a bíróságon, és azzal vádolta az FGV-t (Ferrocarrils de la Generalitat Valenciana) és a Proconsit (az alkalmazást fejlesztő céget) a személyes jellegű adatvédelemhez való jog megsértésével. .
Ahogy a médium gyűjtötte Valencia Square, a panaszt tanulmány kíséri és a hiba magyarázata "pontról pontra" ami hiba lenne az alkalmazás API-jában. Hasonlóképpen levelet küldtek a Spanyol Adatvédelmi Ügynökségnek (AEPD).
A feltárt adatok nagyon változatosak, és mindent tartalmaznak az e-mail címtől, a nemtől vagy a metrón való utazások számától a teljes nevükig, személyi igazolványukig, születési idejéig, postai címükig és telefonszámáig.
Az API védelem megszüntetése (semmiféle hitelesítést nem igényel) lehetővé teszi bárki számára, hogy a kérés a szerverhez nincs komolyabb probléma. A mérnök bebizonyította a már említett valenciai üzletnek, hogy az összes regisztrált felhasználó adatai viszonylag egyszerűen elérhetők. Gyaníthatóan elég könnyű lenne megszerezni a hitelkártya száma az utazókról (mivel ez a rekord is létezik, és meg lehet tekinteni a Lejárati dátumok és a bank, amelyhez tartoznak), de a mérnök nem próbálkozott ezzel, „hogy ne kövessen el bűncselekményt”.
A névtelen maradni szerető mérnök bírálta, hogy ez nem más, mint annak az eredménye, hogy egy alkalmazás elkészítését olyan emberekre bízták, nem minősített érte:
A hitelesítés mindennek előfeltétele szoftver a magánjellegű információkat kezelő nyilvános hozzáférésről, és ebben az esetben úgy döntöttek, hogy a következmények átgondolása nélkül semmilyen típusú hitelesítést nem hajtanak végre. […] nem képzett szakemberek fejlesztették ki.
Az ügy komolyságának bizonyítására a mérnök a jelentésében véletlenszerűen kiválaszt egy személyt, aki közül részletek minden mozdulatát. Így látható, hogy van egy Valencia metrót használó utas, aki La Riberában él, minden nap ugyanabban az időben metrózik és vele utazik Valencia központjába, ahol a munkahelye található - az emailje lehetővé teszi közöljük azokat az adatokat is. Délután a Plaza de España megállótól metróval tér vissza városába.
A Ferrocarrils de la Generalitat Valenciana közvállalat mondja nincs rekordja határozat vagy panasz merült fel. Az egyetlen dolog, ami felismeri, hogy volt egy hiba március hónapban, amikor az alkalmazás elindult, de azt már javították.
Abban az esetben, ha a valenciai metrót használja, és rendelkezik az alkalmazással-On bizalmas felvenni a mérnök ajánlásait, aki ezt határozottan javasolja távolítsa el és törölje az alkalmazással kapcsolatos összes adatot, amíg ezt a biztonsági rést hivatalosan el nem ismerik és megoldást nem kapnak.