Un fallo en la app del Metro de Valencia deja al descubierto los datos de miles de usuarios

No hace mucho que la web de Vox fue hackeada destapando con ello los datos personales de muchas personas afines al partido y ahora tenemos que volver a hacernos eco del descubierto de información sensible y privada: la perteneciente a los usuarios de la app del Metro de Valencia.

Un fallo en la API: el agujero de la app

Un agujero de seguridad en la aplicación oficial del metro y tranvía de Valencia ha sido la puerta de salida de información personal de casi 60.000 usuarios -se dice pronto. El fallo ha sido descubierto por un ingeniero que no ha dudado en denunciar la situación en un juzgado, acusando a la FGV (Ferrocarrils de la Generalitat Valenciana) y a Proconsi (la empresa que desarrolló la app) de violar el derecho a la protección de datos de carácter personal.

Según recoge el medio ValenciaPlaza, la denuncia viene acompañada de un estudio y explicación del fallo «punto por punto» que estaría en un error en la API del la aplicación. Igualmente se ha remitido un escrito a la Agencia Española de Protección de Datos (AEPD).

metro valencia app

Los datos desvelados son muy variados e incluyen desde el correo electrónico, el sexo, o las veces que ha viajado una persona en el metro a su nombre completo, número de DNI, fecha de nacimiento, dirección postal y número de teléfono.

La desprotección de la API (esta no requiere ningún tipo de autenticación) posibilita a cualquiera el poder hacer una petición al servidor sin mayor problema. El ingeniero ha demostrado al antes citado medio valenciano que se puede acceder de manera relativamente sencilla a los datos de todos los usuarios registrados. Se sospecha que también resultaría bastante fácil obtener el número de tarjeta de crédito de los viajeros (ya que también existe ese registro y es posible ver las fechas de caducidad y el banco al que pertenecen), pero el ingeniero no ha probado a hacerlo «para no incurrir en un delito».

El ingeniero, que prefiere mantener su anonimato, ha criticado que esto no es más que el resultado de encargar la creación de una app a gente que no está cualificada para ello:

La autenticación es un requisito indispensable en todo software de acceso público que maneja información privada y en este caso se ha optado por no implementar ningún tipo de autenticación sin pensar en las consecuencias.  […] no ha sido desarrollado por profesionales cualificados.

Para demostrar la gravedad del asunto, el ingeniero en su informe selecciona una persona al azar, de la que detalla todos sus movimientos. Se puede ver así que hay un viajero usuario del Metro de Valencia que reside en La Ribera, coge todos los días el metro a la misma hora y se traslada con él al centro de Valencia, donde se encuentra su trabajo -su correo electrónico permite revelar también ese dato. Por la tarde, regresa a su pueblo cogiendo el metro de la parada de Plaza de España.

La empresa pública Ferrocarrils de la Generalitat Valenciana dice no tener constancia de este fallo ni de que exista ninguna denuncia. Lo único que reconoce que hubo algún fallo en el mes de marzo, cuando se lanzó la aplicación, pero que ya fue arreglado.

En caso de que uses el Metro de Valencia y tengas la aplicación, en El Confidencial recogen las recomendaciones del ingeniero, que aconseja encarecidamente que desinstales y borres todos los datos relacionados con la app hasta que se reconozca este agujero de seguridad oficialmente y den una solución.