Ikke lenge siden Vox-nettstedet ble hacket og dermed avdekke personopplysningene til mange personer knyttet til partiet, og nå må vi igjen gjenta oppdagelsen av sensitiv og privat informasjon: som tilhører brukerne av Valencia Metro-app.
En API-feil: apphullet
Et sikkerhetshull i den offisielle T-bane-appen og trikk av Valencia har vært utgangsdøren til personlig informasjon om nesten 60.000 XNUMX brukere - det sies snart. Feilen er oppdaget av en ingeniør som ikke har nølt med å fordømme situasjonen i retten, og anklaget FGV (Ferrocarrils de la Generalitat Valenciana) og Proconsi (selskapet som utviklet appen) for å krenke retten til databeskyttelse av personlig karakter. .
Som samlet av mediet ValenciaSquare, klagen er ledsaget av en studie og forklaring av feilen "punkt for punkt" som ville være en feil i applikasjonens API. Likeledes er det sendt et brev til det spanske datatilsynet (AEPD).
Dataene som avsløres er svært varierte og inkluderer alt fra e-post, kjønn eller antall ganger en person har reist på T-banen til fullt navn, ID-nummer, fødselsdato, postadresse og telefonnummer.
Avbeskyttelsen av API-en (den krever ikke noen form for autentisering) gjør at alle kan lage en forespørsel til server ikke noe stort problem. Ingeniøren har demonstrert overfor det nevnte Valencia-utsalget at dataene til alle registrerte brukere kan nås på en relativt enkel måte. Det er mistanke om at det også ville være ganske enkelt å få tak i kredittkortnummer av de reisende (siden den posten også eksisterer og det er mulig å se Utløpsdatoer og banken de tilhører), men ingeniøren har ikke forsøkt å gjøre det «for ikke å begå en forbrytelse».
Ingeniøren, som foretrekker å være anonym, har kritisert at dette ikke er noe annet enn resultatet av å betro opprettelsen av en app til folk som er ikke kvalifisert for det:
Autentisering er en forutsetning for alt programvare av offentlig tilgang som håndterer privat informasjon og i dette tilfellet er det besluttet å ikke implementere noen form for autentisering uten å tenke på konsekvensene. […] er ikke utviklet av kvalifiserte fagfolk.
For å demonstrere alvoret i saken velger ingeniøren i sin rapport en tilfeldig person, fra hvem detaljer alle bevegelsene hans. Dermed kan det ses at det er en bruker av Valencia Metro som bor i La Ribera, tar metroen til samme tid hver dag og reiser med ham til sentrum av Valencia, hvor arbeidet hans befinner seg - hans e-post lar oss å avsløre også disse dataene. På ettermiddagen kommer han tilbake til byen sin og tar metroen fra holdeplassen Plaza de España.
Det offentlige selskapet Ferrocarrils de la Generalitat Valenciana sier har ingen rekord av denne kjennelsen eller at det er noen klage. Det eneste som gjenkjenner at det var en feil i mars måned, da applikasjonen ble lansert, men at den allerede er fikset.
I tilfelle du bruker Valencia Metro og har applikasjonenPå El Confidencial plukke opp anbefalingene fra ingeniøren, som sterkt anbefaler det avinstaller og slett alle data relatert til appen inntil dette sikkerhetshullet er offisielt anerkjent og en løsning er gitt.