Pirms neilga laika Vox vietne tika uzlauzta tādējādi atklājot daudzu ar partiju saistītu cilvēku personas datus, un tagad mums atkal jāatsaucas uz sensitīvas un privātas informācijas atklāšanu: kas pieder partiju lietotājiem. Valensijas metro lietotne.
API kļūda: lietotnes caurums
Drošības caurums iekšā oficiālā metro lietotne un Valensijas tramvajs ir bijis personas informācijas izejas durvis gandrīz 60.000 XNUMX lietotāju - drīz tiek teikts. Neveiksmi atklāja inženieris, kurš nevilcinājās tiesā nosodīt situāciju, apsūdzot FGV (Ferrocarrils de la Generalitat Valenciana) un Proconsi (uzņēmumu, kas izstrādāja lietotni) personas tiesību uz datu aizsardzību pārkāpšanā. .
Kā savācis medijs Valensijas laukums, sūdzībai pievienots pētījums un kļūmes skaidrojums "punkts pa punktam" kas būtu kļūda lietojumprogrammas API. Tāpat vēstule ir nosūtīta Spānijas Datu aizsardzības aģentūrai (AEPD).
Atklātie dati ir ļoti dažādi un ietver visu, sākot no e-pasta, dzimuma vai reižu skaita, kad persona ir ceļojusi ar metro, līdz viņas pilnam vārdam, ID numuram, dzimšanas datumam, pasta adresei un tālruņa numuram.
API aizsardzības noņemšana (tai nav nepieciešama nekāda veida autentifikācija) ļauj ikvienam izveidot a pieprasījums serverim nekādu būtisku problēmu. Iepriekš minētajam Valensijas tirdzniecības centram inženieris ir pierādījis, ka visu reģistrēto lietotāju datiem var piekļūt salīdzinoši vienkāršā veidā. Ir aizdomas, ka to būtu arī diezgan viegli iegūt kredītkartes numurs ceļotāju (jo šis ieraksts arī pastāv un ir iespējams redzēt Derīguma termiņi un banka, kurai tie pieder), taču inženieris nav mēģinājis to darīt, "lai neizdarītu noziegumu".
Inženieris, kurš vēlas palikt anonīms, kritizēja, ka tas nav nekas vairāk kā rezultāts, uzticot lietotnes izveidi cilvēkiem, kuri nav kvalificēts par to:
Autentifikācija ir priekšnoteikums visam programmatūra publisko piekļuvi, kas apstrādā privātu informāciju, un šajā gadījumā nolemts neieviest nekādu autentifikācijas veidu, nedomājot par sekām. […] nav izstrādājuši kvalificēti speciālisti.
Lai parādītu lietas nopietnību, inženieris savā ziņojumā nejauši izvēlas personu, no kuras informācija visas viņa kustības. Tādējādi ir redzams, ka ir Valensijas metro lietotājs, kurš dzīvo La Riberā, katru dienu brauc ar metro vienā un tajā pašā laikā un dodas kopā ar viņu uz Valensijas centru, kur atrodas viņa darbs - viņa e-pasts ļauj mums lai atklātu arī šos datus. Pēcpusdienā viņš atgriežas savā pilsētā, braucot ar metro no Plaza de España pieturas.
Valsts uzņēmums Ferrocarrils de la Generalitat Valenciana saka nav ierakstu šo nolēmumu vai ir kāda sūdzība. Vienīgais, kas atpazīst, ka marta mēnesī, kad lietojumprogramma tika palaists, bija kļūda, bet tā jau ir novērsta.
Ja izmantojat Valensijas metro un jums ir lietojumprogrammauz konfidenciāls pacelt inženiera ieteikumus, kas to stingri iesaka atinstalēt un izdzēst visus ar lietotni saistītos datus, līdz šis drošības robs tiek oficiāli atzīts un risinājums.