요전 Vox 웹 사이트가 해킹당했습니다. 따라서 파티와 관련된 많은 사람들의 개인 데이터를 발견하고 이제 우리는 민감하고 사적인 정보의 발견을 다시 반향해야 합니다. 발렌시아 메트로 앱.
API 버그: 앱 구멍
보안 허점 공식 지하철 앱 발렌시아의 트램은 개인 정보의 출구였습니다. 거의 60.000명의 사용자 - 곧 말합니다. FGV(Ferrocarrils de la Generalitat Valenciana)와 Proconsi(앱을 개발한 회사)가 개인적인 성격의 데이터 보호에 대한 권리를 침해했다고 비난하면서 법정에서 상황을 주저하지 않고 비난하는 엔지니어에 의해 실패가 발견되었습니다. .
매체에 의해 수집된 바와 같이 발렌시아플라자, 불만 사항에는 연구와 실패에 대한 설명 "점씩" 응용 프로그램 API의 오류입니다. 마찬가지로 AEPD(Spanish Data Protection Agency)에도 편지가 발송되었습니다.
공개된 데이터는 매우 다양하며 이메일, 성별 또는 사람이 지하철을 탄 횟수에서 이름, ID 번호, 생년월일, 우편 주소 및 전화 번호에 이르기까지 모든 것을 포함합니다.
API의 보호 해제(어떤 유형의 인증도 필요하지 않음)를 통해 누구나 다음을 수행할 수 있습니다. 서버에 요청 큰 문제 없음. 엔지니어는 등록된 모든 사용자의 데이터에 비교적 간단한 방법으로 액세스할 수 있음을 앞서 언급한 Valencian 콘센트에 시연했습니다. 을 얻는 것도 매우 쉬울 것으로 의심된다. 신용 카드 번호 여행자의 (그 기록도 존재하고 볼 수 있기 때문에 만료일 및 그들이 속한 은행), 그러나 엔지니어는 "범죄를 저 지르지 않기 위해"그렇게 시도하지 않았습니다.
익명을 선호하는 엔지니어는 앱 제작을 사람들에게 맡긴 결과에 지나지 않는다고 비판해왔다. 자격이 없다 그것을 위해 :
인증은 모든 것의 전제 조건입니다. 소프트웨어 개인 정보를 처리하는 공개 액세스의 경우 결과에 대해 생각하지 않고 어떤 유형의 인증도 구현하지 않기로 결정했습니다. [...] 자격을 갖춘 전문가가 개발하지 않았습니다.
문제의 심각성을 입증하기 위해 보고서의 엔지니어는 무작위로 한 사람을 선택합니다. 세부 그의 모든 움직임. 따라서 La Ribera에 거주하는 발렌시아 지하철 사용자가 매일 같은 시간에 지하철을 타고 자신의 업무가 있는 발렌시아 중심까지 함께 이동한다는 것을 알 수 있습니다. 그 데이터도 공개합니다. 오후에 그는 Plaza de España 정류장에서 지하철을 타고 고향으로 돌아갑니다.
공개 회사 Ferrocarrils de la Generalitat Valenciana는 말합니다. 기록이 없다 이 판결에 대해 또는 불만 사항이 있는 경우. 응용 프로그램이 시작된 XNUMX월에 버그가 있었지만 이미 수정되었음을 인식하는 유일한 것입니다.
발렌시아 지하철을 이용하시고 어플을 가지고 계시다면에 엘 Confidencial 수집 강력하게 조언하는 엔지니어의 권장 사항 제거 및 삭제 이 보안 구멍이 공식적으로 인정되고 해결책이 주어질 때까지 앱과 관련된 모든 데이터.