Non molto tempo fa il sito web di Vox è stato violato scoprendo così i dati personali di molte persone legate al partito e ora dobbiamo riecheggiare la scoperta di informazioni sensibili e private: quelle appartenenti agli utenti del App della metropolitana di Valencia.
Un bug dell'API: il buco dell'app
Un buco nella sicurezza l'app ufficiale della metropolitana e il tram di Valencia è stata la porta di uscita delle informazioni personali di quasi 60.000 utenti -si dice presto. Il guasto è stato scoperto da un ingegnere che non ha esitato a denunciare la situazione in tribunale, accusando la FGV (Ferrocarrils de la Generalitat Valenciana) e la Proconsi (la società che ha sviluppato l'app) di aver violato il diritto alla protezione dei dati a carattere personale .
Come raccolto dal mezzo Piazza Valencia, la denuncia è accompagnata da uno studio e spiegazione del fallimento "punto per punto" che sarebbe un errore nell'API dell'applicazione. Allo stesso modo, è stata inviata una lettera all'Agenzia spagnola per la protezione dei dati (AEPD).
I dati rivelati sono molto vari e includono qualsiasi cosa, dall'e-mail, al sesso o al numero di volte in cui una persona ha viaggiato in metropolitana, al nome completo, al numero di carta d'identità, alla data di nascita, all'indirizzo postale e al numero di telefono.
La deprotezione dell'API (non richiede alcun tipo di autenticazione) consente a chiunque di poter effettuare un richiesta al server nessun grosso problema. L'ingegnere ha dimostrato al suddetto punto vendita valenciano che è possibile accedere ai dati di tutti gli utenti registrati in modo relativamente semplice. Si sospetta che sarebbe anche abbastanza facile ottenere il Numero di carta di credito dei viaggiatori (poiché anche tale registro esiste ed è possibile vedere il Date di scadenza e la banca di appartenenza), ma l'ingegnere non ha cercato di farlo "per non commettere reato".
L'ingegnere, che preferisce rimanere anonimo, ha criticato che questo non è altro che il risultato dell'affidamento della creazione di un'app a persone che non è qualificato per questo:
L'autenticazione è un prerequisito per tutto Software di accesso pubblico che gestisce informazioni private e in questo caso si è deciso di non implementare alcun tipo di autenticazione senza pensare alle conseguenze. […] non è stato sviluppato da professionisti qualificati.
Per dimostrare la gravità della questione, l'ingegnere nella sua relazione seleziona una persona a caso, da cui dettagli tutti i suoi movimenti. Quindi, si può vedere che c'è un utente della metropolitana di Valencia che vive a La Ribera, prende la metropolitana ogni giorno alla stessa ora e viaggia con lui fino al centro di Valencia, dove si trova il suo lavoro - la sua e-mail ci consente rivelare anche quei dati. Nel pomeriggio torna nella sua città prendendo la metropolitana dalla fermata di Plaza de España.
Lo afferma la società pubblica Ferrocarrils de la Generalitat Valenciana non avere precedenti di questa sentenza o che ci sia qualche reclamo. L'unica cosa che riconosce che c'era un bug nel mese di marzo, quando è stata lanciata l'applicazione, ma che è già stato risolto.
Nel caso in cui usi la metropolitana di Valencia e hai l'applicazionein La Confidential raccogliere le raccomandazioni dell'ingegnere, che lo consiglia vivamente disinstallare ed eliminare tutti i dati relativi all'app fino a quando questa falla di sicurezza non viene riconosciuta ufficialmente e viene fornita una soluzione.