Neseniai į „Vox“ svetainę buvo įsilaužta taip atskleidžiami daugelio su partija susijusių žmonių asmeniniai duomenys, o dabar vėl tenka atkartoti neskelbtinos ir privačios informacijos atradimą: kuri priklauso partijos vartotojams. Valensijos metro programa.
API klaida: programos skylė
Saugumo skylė oficiali metro programa ir Valensijos tramvajus buvo asmeninės informacijos išėjimo durys beveik 60.000 XNUMX vartotojų – sakoma netrukus. Gedimą aptiko inžinierius, kuris nedvejodamas pasmerkė situaciją teisme, apkaltinęs FGV („Ferrocarrils de la Generalitat Valenciana“) ir „Proconsi“ (programėlę sukūrusią bendrovę) pažeidus teisę į asmens duomenų apsaugą. .
Kaip surinko žiniasklaida Valensijos aikštė, prie skundo pridedamas tyrimas ir gedimo paaiškinimas "taškas po taško" tai būtų programos API klaida. Taip pat laiškas buvo išsiųstas Ispanijos duomenų apsaugos agentūrai (AEPD).
Atskleidžiami duomenys yra labai įvairūs ir apima viską, pradedant el. pašto adresu, lytimi ar kiek kartų asmuo keliavo metro, iki pilno vardo, asmens tapatybės numerio, gimimo datos, pašto adreso ir telefono numerio.
Panaikinus API apsaugą (tai nereikalauja jokio autentifikavimo) bet kas gali padaryti a užklausa serveriui didelės problemos nėra. Inžinierius jau minėtam Valensijos prekybos centrui pademonstravo, kad visų registruotų vartotojų duomenis galima pasiekti gana paprastai. Įtariama, kad taip pat būtų gana nesunku gauti kreditinės kortelės numeris keliautojų (nes tas įrašas taip pat egzistuoja ir galima pamatyti Galiojimo laikas ir bankas, kuriam jie priklauso), tačiau inžinierius to nebandė daryti „kad nenusikalstų“.
Inžinierius, kuris nori likti anonimu, kritikavo, kad tai ne kas kita, kaip programėlės kūrimo patikėjimo žmonėms, kurie nėra kvalifikuotas už tai:
Autentifikavimas yra būtina sąlyga viskam programinė įranga viešosios prieigos, kuri tvarko privačią informaciją, ir šiuo atveju buvo nuspręsta neįdiegti jokio autentifikavimo, negalvojant apie pasekmes. […] nebuvo sukurta kvalifikuotų specialistų.
Siekdamas parodyti reikalo rimtumą, inžinierius savo ataskaitoje atsitiktinai pasirenka asmenį, iš kurio detales visus jo judesius. Taigi galima pastebėti, kad yra Valensijos metro vartotojas, kuris gyvena La Riberoje, kasdien tuo pačiu metu važiuoja metro ir keliauja su juo į Valensijos centrą, kur yra jo darbas – jo el. atskleisti ir tuos duomenis. Po pietų jis grįžta į savo miestą metro iš Plaza de España stotelės.
Akcinė bendrovė Ferrocarrils de la Generalitat Valenciana teigia neturi įrašo šio nutarimo arba kad yra koks nors skundas. Vienintelis dalykas, kuris atpažįsta, kad kovo mėnesį, kai programa buvo paleista, buvo klaida, tačiau ji jau buvo ištaisyta.
Jei naudojatės Valensijos metro ir turite programąį konfidencialus paimti inžinieriaus rekomendacijas, kuri tai primygtinai rekomenduoja pašalinti ir ištrinti visus su programėle susijusius duomenis, kol ši saugumo spraga bus oficialiai pripažinta ir sprendimas.