Niet lang geleden de Vox-website is gehackt daardoor de persoonlijke gegevens blootleggen van veel mensen die verwant zijn aan de partij en nu moeten we opnieuw de ontdekking van gevoelige en privé-informatie herhalen: die van de gebruikers van de Valencia Metro-app.
Een API-bug: het app-gat
Een beveiligingslek erin de officiële metro-app en tram van Valencia is de uitgangsdeur van persoonlijke informatie van geweest bijna 60.000 gebruikers - het wordt snel gezegd. De mislukking is ontdekt door een ingenieur die niet heeft geaarzeld om de situatie voor de rechtbank aan de kaak te stellen en de FGV (Ferrocarrils de la Generalitat Valenciana) en Proconsi (het bedrijf dat de app heeft ontwikkeld) ervan te beschuldigen het recht op gegevensbescherming van persoonlijke aard te schenden .
Zoals verzameld door het medium Valencia Plein, gaat de klacht vergezeld van een onderzoek en uitleg van de storing "punt voor punt" wat een fout zou zijn in de API van de applicatie. Evenzo is er een brief gestuurd naar het Spaanse bureau voor gegevensbescherming (AEPD).
De onthulde gegevens zijn zeer gevarieerd en omvatten alles van e-mail, geslacht of het aantal keren dat een persoon met de metro heeft gereisd tot hun volledige naam, ID-nummer, geboortedatum, postadres en telefoonnummer.
Door de bescherming van de API (hiervoor is geen enkele vorm van authenticatie vereist) kan iedereen een verzoek aan server geen groot probleem. De ingenieur heeft aan de eerder genoemde Valenciaanse outlet aangetoond dat de gegevens van alle geregistreerde gebruikers op een relatief eenvoudige manier toegankelijk zijn. Men vermoedt dat het ook vrij gemakkelijk zou zijn om de creditcardnummer van de reizigers (aangezien dat record ook bestaat en het mogelijk is om de Vervaldatums en de bank waartoe ze behoren), maar de ingenieur heeft dit niet geprobeerd "om geen misdaad te plegen".
De ingenieur, die liever anoniem blijft, heeft kritiek geuit dat dit niets meer is dan het resultaat van het toevertrouwen van het maken van een app aan mensen die is niet gekwalificeerd ervoor:
Authenticatie is een voorwaarde voor alles software van openbare toegang die privé-informatie behandelt en in dit geval is besloten om geen enkele vorm van authenticatie te implementeren zonder na te denken over de gevolgen. […] is niet ontwikkeld door gekwalificeerde professionals.
Om de ernst van de zaak aan te tonen, kiest de ingenieur in zijn rapport willekeurig een persoon uit wie details al zijn bewegingen. Zo is te zien dat er een gebruiker van de metro van Valencia is die in La Ribera woont, elke dag op hetzelfde tijdstip de metro neemt en met hem naar het centrum van Valencia reist, waar zijn werk zich bevindt - zijn e-mail stelt ons in staat om ook die gegevens te onthullen. 's Middags keert hij terug naar zijn stad met de metro vanaf de halte Plaza de España.
Dat zegt het beursgenoteerde bedrijf Ferrocarrils de la Generalitat Valenciana heb geen strafblad van deze uitspraak of dat er een klacht is. Het enige dat erkent dat er een bug was in de maand maart, toen de applicatie werd gelanceerd, maar dat deze al is verholpen.
Voor het geval u de metro van Valencia gebruikt en de applicatie heeft, en De Vertrouwelijke Raap op de aanbevelingen van de ingenieur, die dat sterk aanraadt verwijderen en verwijderen alle gegevens met betrekking tot de app totdat dit beveiligingslek officieel wordt herkend en er een oplossing wordt geboden.