少し前まで Vox の Web サイトがハッキングされた これにより、党に関連する多くの人々の個人データが明らかになり、機密性の高い個人情報が発見されたことを再度確認する必要があります。 バレンシア地下鉄アプリ.
API のバグ: アプリの穴
セキュリティ ホール 地下鉄の公式アプリ とバレンシアのトラムは、個人情報の出口ドアとなっています 約 60.000 人のユーザー ――そろそろと言われます。 この失敗は、FGV (Ferrocarrils de la Generalitat Valenciana) と Proconsi (アプリを開発した会社) が個人的な性質のデータ保護の権利を侵害していると非難して、法廷で状況を非難することを躊躇しなかったエンジニアによって発見されました。 .
媒体によって収集されたように バレンシアプラザ、苦情には研究が伴い、 失敗の説明「ポイントバイポイント」 これは、アプリケーションの API のエラーです。 同様に、スペインのデータ保護庁 (AEPD) にも手紙が送られました。
明らかにされたデータは非常に多様で、電子メール、性別、または地下鉄に乗った回数から、フルネーム、ID 番号、生年月日、住所、電話番号まで、すべてが含まれています。
API の保護解除 (いかなるタイプの認証も必要としない) により、誰でも サーバーへのリクエスト 大きな問題はありません。 エンジニアは、前述のバレンシアのアウトレットに対して、すべての登録ユーザーのデータに比較的簡単な方法でアクセスできることを実証しました。 また、非常に簡単に入手できると思われます。 クレジットカード番号 旅行者の記録(その記録も存在し、 有効期限 および彼らが所属する銀行)が、エンジニアは「犯罪を犯さないように」そうしようとはしていません。
匿名を希望するエンジニアは、これはアプリの作成を信頼できる人々に任せた結果にすぎないと批判しています。 資格がない それのために:
認証はすべての前提条件です ソフトウェア 個人情報を扱うパブリック アクセスの場合、結果を考慮せずにいかなる種類の認証も実装しないことにしました。 […] 資格のある専門家によって開発されたものではありません。
問題の深刻さを示すために、技術者はレポートの中で無作為に人を選びます。 詳細 彼のすべての動き。 このように、ラ・リベラに住んでいるバレンシア地下鉄のユーザーがいて、毎日同じ時間に地下鉄に乗り、彼の仕事があるバレンシアの中心部に彼と一緒に旅行していることがわかります - 彼の電子メールは私たちに許可しますそのデータも明らかにします。 午後、彼はスペイン広場の停留所から地下鉄に乗って町に戻ります。
公開会社 Ferrocarrils de la Generalitat Valenciana は言う 記録がない この決定のまたは苦情があること。 アプリケーションが起動されたXNUMX月にバグがあったことを認識する唯一のものですが、それはすでに修正されています.
バレンシアメトロを利用し、アプリを持っている場合に El Confidencial 収集 強くアドバイスするエンジニアの推奨事項 アンインストールして削除 このセキュリティホールが正式に認識され、解決策が提供されるまで、アプリに関連するすべてのデータ。