Beberapa waktu yang lalu situs web Vox diretas dengan demikian mengungkap data pribadi banyak orang yang terkait dengan partai tersebut dan sekarang kita harus menggemakan lagi penemuan informasi sensitif dan pribadi: yang dimiliki oleh para pengguna Aplikasi Metro Valencia.
Bug API: lubang aplikasi
Sebuah lubang keamanan di aplikasi kereta bawah tanah resmi dan trem Valencia telah menjadi pintu keluar dari informasi pribadi hampir 60.000 pengguna -dikatakan segera. Kegagalan telah ditemukan oleh seorang insinyur yang tidak ragu-ragu untuk mengadukan situasi tersebut di pengadilan, menuduh FGV (Ferrocarrils de la Generalitat Valenciana) dan Proconsi (perusahaan yang mengembangkan aplikasi) melanggar hak atas perlindungan data yang bersifat pribadi. .
Seperti yang dikumpulkan oleh media Alun-alun Valencia, pengaduan tersebut disertai dengan kajian dan penjelasan tentang kegagalan "poin demi poin" yang akan menjadi kesalahan dalam API aplikasi. Demikian pula, surat telah dikirim ke Spanish Data Protection Agency (AEPD).
Data yang terungkap sangat bervariasi dan mencakup semuanya mulai dari email, jenis kelamin, atau berapa kali seseorang bepergian dengan kereta bawah tanah hingga nama lengkap, nomor KTP, tanggal lahir, alamat pos, dan nomor telepon.
Deproteksi API (tidak memerlukan jenis autentikasi apa pun) memungkinkan siapa saja untuk dapat membuat a permintaan ke server tidak ada masalah besar. Insinyur tersebut telah menunjukkan kepada outlet Valencia tersebut bahwa data semua pengguna terdaftar dapat diakses dengan cara yang relatif sederhana. Diduga juga akan cukup mudah untuk mendapatkannya nomor kartu kredit dari para pelancong (karena catatan itu juga ada dan dimungkinkan untuk melihat Tanggal kadaluwarsa dan bank tempat mereka berada), tetapi insinyur tersebut tidak mencoba melakukannya "agar tidak melakukan kejahatan".
Insinyur, yang memilih untuk tetap anonim, mengkritik bahwa ini tidak lebih dari hasil mempercayakan pembuatan aplikasi kepada orang-orang yang tidak memenuhi syarat untuk itu:
Otentikasi adalah prasyarat untuk semuanya perangkat lunak akses publik yang menangani informasi pribadi dan dalam hal ini telah diputuskan untuk tidak menerapkan semua jenis otentikasi tanpa memikirkan konsekuensinya. […] belum dikembangkan oleh para profesional yang berkualitas.
Untuk menunjukkan keseriusan masalah tersebut, insinyur dalam laporannya memilih seseorang secara acak, dari siapa detailnya semua gerakannya. Dengan demikian, terlihat bahwa ada pengguna Metro Valencia yang tinggal di La Ribera, naik metro pada waktu yang sama setiap hari dan bepergian bersamanya ke pusat Valencia, di mana pekerjaannya berada -emailnya mengizinkan kami untuk mengungkapkan juga data itu. Sore harinya, dia kembali ke kotanya dengan naik metro dari halte Plaza de España.
Perusahaan publik Ferrocarrils de la Generalitat Valenciana mengatakan tidak memiliki catatan keputusan ini atau bahwa ada keluhan. Satu-satunya hal yang mengetahui bahwa ada bug di bulan Maret, saat aplikasi diluncurkan, tetapi sudah diperbaiki.
Jika Anda menggunakan Metro Valencia dan memiliki aplikasinyadi El Confidencial mengumpulkan rekomendasi dari insinyur, yang sangat menyarankan itu copot dan hapus semua data yang terkait dengan aplikasi hingga celah keamanan ini diakui secara resmi dan solusi diberikan.