לא לפני הרבה זמן אתר Vox נפרץ ובכך לחשוף את הנתונים האישיים של אנשים רבים הקשורים למסיבה וכעת עלינו להדהד שוב את גילויו של מידע רגיש ופרטי: השייך למשתמשי אפליקציית המטרו של ולנסיה.
באג API: חור האפליקציה
חור אבטחה פנימה אפליקציית הרכבת התחתית הרשמית והחשמלית של ולנסיה הייתה דלת היציאה של מידע אישי של כמעט 60.000 משתמשים -זה נאמר בקרוב. הכישלון התגלה על ידי מהנדס שלא היסס להוקיע את המצב בבית המשפט, והאשים את ה-FGV (Ferrocarrils de la Generalitat Valenciana) ו-Proconsi (החברה שפיתחה את האפליקציה) בהפרת הזכות להגנת מידע בעלת אופי אישי. .
כפי שנאסף על ידי המדיום ולנסיהפלאזה, התלונה מלווה במחקר ו הסבר לכשל "נקודה אחר נקודה" שתהיה שגיאה ב-API של האפליקציה. כמו כן, מכתב נשלח לסוכנות הספרדית להגנת מידע (AEPD).
הנתונים שנחשפו מגוונים מאוד וכוללים הכל, החל ממייל, מין, או מספר הפעמים שאדם נסע ברכבת התחתית ועד לשמו המלא, מספר תעודת זהות, תאריך לידה, כתובת דואר ומספר טלפון.
ביטול ההגנה של ה-API (הוא אינו דורש שום סוג של אימות) מאפשר לכל אחד להיות מסוגל לבצע בקשה לשרת אין בעיה גדולה. המהנדס הוכיח לרשת ולנסיה הנ"ל שניתן לגשת לנתונים של כל המשתמשים הרשומים בצורה פשוטה יחסית. יש חשד שזה יהיה גם די קל להשיג את מספר כרטיס אשראי של המטיילים (מכיוון שגם הרשומה הזו קיימת ואפשר לראות את תאריכי תפוגה והבנק שאליו הם שייכים), אך המהנדס לא ניסה לעשות זאת "כדי לא לבצע פשע".
המהנדס, שמעדיף להישאר בעילום שם, מתח ביקורת על כך שמדובר בלא יותר מאשר תוצאה של הפקדת יצירת אפליקציה לאנשים אשר אינו כשיר בשביל זה:
אימות הוא תנאי מוקדם לכל דבר תוֹכנָה של גישה ציבורית המטפלת במידע פרטי ובמקרה זה הוחלט לא ליישם שום סוג של אימות מבלי לחשוב על ההשלכות. […] לא פותח על ידי אנשי מקצוע מוסמכים.
כדי להוכיח את חומרת העניין, המהנדס בדוח שלו בוחר אדם באקראי, מתוכו פרטים את כל התנועות שלו. כך, ניתן לראות שיש משתמש במטרו ולנסיה שגר בלה ריברה, נוסע במטרו באותה שעה כל יום ונוסע איתו למרכז ולנסיה, שם ממוקמת עבודתו -המייל שלו מאפשר לנו לחשוף גם את הנתונים האלה. אחר הצהריים, הוא חוזר לעיירה שלו לוקח את המטרו מתחנת פלאזה דה אספניה.
החברה הציבורית Ferrocarrils de la Generalitat Valenciana אומרת אין תיעוד של פסיקה זו או שיש תלונה כלשהי. הדבר היחיד שמזהה שהיה באג בחודש מרץ, כשהאפליקציה הושקה, אבל זה כבר תוקן.
במקרה שאתה משתמש במטרו ולנסיה ויש לך את האפליקציהב אל Confidencial לאסוף המלצות המהנדס, שממליץ על כך בחום להסיר ולמחוק כל הנתונים הקשורים לאפליקציה עד להכרה רשמית של חור האבטחה הזה וניתן פתרון.