Tidak lama dahulu laman web Vox telah digodam dengan itu mendedahkan data peribadi ramai orang yang berkaitan dengan parti itu dan kini kami perlu mengulangi semula penemuan maklumat sensitif dan peribadi: yang dimiliki oleh pengguna Aplikasi Metro Valencia.
Pepijat API: lubang aplikasi
Satu lubang keselamatan masuk aplikasi kereta bawah tanah rasmi dan trem Valencia telah menjadi pintu keluar maklumat peribadi hampir 60.000 pengguna -ia dikatakan tidak lama lagi. Kegagalan itu telah ditemui oleh seorang jurutera yang tidak teragak-agak untuk mengecam situasi di mahkamah, menuduh FGV (Ferrocarrils de la Generalitat Valenciana) dan Proconsi (syarikat yang membangunkan aplikasi itu) melanggar hak perlindungan data yang bersifat peribadi. .
Seperti yang dikumpulkan oleh medium Dataran Valencia, aduan itu disertakan dengan kajian dan penjelasan tentang kegagalan "titik demi titik" yang akan menjadi ralat dalam API aplikasi. Begitu juga, surat telah dihantar kepada Agensi Perlindungan Data Sepanyol (AEPD).
Data yang didedahkan sangat pelbagai dan termasuk segala-galanya daripada e-mel, jantina, atau bilangan kali seseorang mengembara di kereta bawah tanah kepada nama penuh, nombor ID, tarikh lahir, alamat pos dan nombor telefon mereka.
Penyahlindungan API (ia tidak memerlukan sebarang jenis pengesahan) membolehkan sesiapa sahaja boleh membuat permintaan kepada pelayan tiada masalah besar. Jurutera itu telah menunjukkan kepada outlet Valencia yang disebutkan di atas bahawa data semua pengguna berdaftar boleh diakses dengan cara yang agak mudah. Ia disyaki bahawa ia juga agak mudah untuk mendapatkan nombor kad kredit pengembara (memandangkan rekod itu juga wujud dan adalah mungkin untuk melihat Tarikh luput dan bank kepunyaan mereka), tetapi jurutera itu tidak cuba berbuat demikian "supaya tidak melakukan jenayah".
Jurutera itu, yang memilih untuk kekal tanpa nama, telah mengkritik bahawa ini tidak lebih daripada hasil daripada mempercayakan penciptaan aplikasi kepada orang yang tidak layak untuk itu:
Pengesahan adalah prasyarat untuk segala-galanya perisian akses awam yang mengendalikan maklumat peribadi dan dalam kes ini telah diputuskan untuk tidak melaksanakan sebarang jenis pengesahan tanpa memikirkan akibatnya. […] belum dibangunkan oleh profesional yang berkelayakan.
Untuk menunjukkan keseriusan perkara itu, jurutera dalam laporannya memilih seseorang secara rawak, daripada siapa perincian segala gerak gerinya. Oleh itu, dapat dilihat bahawa terdapat pengguna Metro Valencia yang tinggal di La Ribera, menaiki metro pada masa yang sama setiap hari dan mengembara bersamanya ke pusat Valencia, tempat kerjanya terletak -e-melnya membolehkan kami untuk mendedahkan juga data itu. Pada sebelah petang, dia kembali ke bandarnya menaiki metro dari hentian Plaza de España.
Syarikat awam Ferrocarrils de la Generalitat Valenciana berkata tidak mempunyai rekod keputusan ini atau terdapat sebarang aduan. Satu-satunya perkara yang mengiktiraf bahawa terdapat pepijat pada bulan Mac, apabila aplikasi itu dilancarkan, tetapi ia telah pun diperbaiki.
Sekiranya anda menggunakan Metro Valencia dan mempunyai permohonan itudalam Rahsia mengumpul cadangan jurutera, yang sangat menasihatinya nyahpasang dan padam semua data yang berkaitan dengan apl sehingga lubang keselamatan ini diiktiraf secara rasmi dan penyelesaian diberikan.