Un fallo en la app del Metro de Valencia deja al descubierto los datos de miles de usuarios

metro valencia

No hace mucho que la web de Vox fue hackeada destapando con ello los datos personales de muchas personas afines al partido y ahora tenemos que volver a hacernos eco del descubierto de informaci贸n sensible y privada: la perteneciente a los usuarios de la app del Metro de Valencia.

Un fallo en la API: el agujero de la app

Un agujero de seguridad en la aplicaci贸n oficial del metro y tranv铆a de Valencia ha sido la puerta de salida de informaci贸n personal de casi 60.000 usuarios -se dice pronto. El fallo ha sido descubierto por un ingeniero que no ha dudado en denunciar la situaci贸n en un juzgado, acusando a la FGV (Ferrocarrils de la Generalitat Valenciana) y a Proconsi (la empresa que desarroll贸 la app) de violar el derecho a la protecci贸n de datos de car谩cter personal.

Seg煤n recoge el medio聽ValenciaPlaza, la denuncia viene acompa帽ada de un estudio y explicaci贸n del fallo 芦punto por punto禄 que estar铆a en un error en la API del la aplicaci贸n. Igualmente se ha remitido un escrito a la Agencia Espa帽ola de Protecci贸n de Datos (AEPD).

metro valencia app

Los datos desvelados son muy variados e incluyen desde el correo electr贸nico, el sexo, o las veces que ha viajado una persona en el metro a su nombre completo, n煤mero de DNI, fecha de nacimiento, direcci贸n postal y n煤mero de tel茅fono.

La desprotecci贸n de la API (esta no requiere ning煤n tipo de autenticaci贸n) posibilita a cualquiera el poder hacer una petici贸n al servidor sin mayor problema. El ingeniero ha demostrado al antes citado medio valenciano que se puede acceder de manera relativamente sencilla a los datos de todos los usuarios registrados. Se sospecha que tambi茅n resultar铆a bastante f谩cil obtener el n煤mero de tarjeta de cr茅dito de los viajeros (ya que tambi茅n existe ese registro y es posible ver las fechas de caducidad y el banco al que pertenecen), pero el ingeniero no ha probado a hacerlo 芦para no incurrir en un delito禄.

El ingeniero, que prefiere mantener su anonimato, ha criticado que esto no es m谩s que el resultado de encargar la creaci贸n de una app a gente que no est谩 cualificada para ello:

La autenticaci贸n es un requisito indispensable en todo聽software聽de acceso p煤blico que maneja informaci贸n privada y en este caso se ha optado por no implementar ning煤n tipo de autenticaci贸n sin pensar en las consecuencias. 聽[…] no ha sido desarrollado por profesionales cualificados.

Para demostrar la gravedad del asunto, el ingeniero en su informe selecciona una persona al azar, de la que detalla todos sus movimientos. Se puede ver as铆 que hay un viajero usuario del Metro de Valencia que reside en聽La Ribera, coge todos los d铆as el metro a la misma hora y se traslada con 茅l al centro de Valencia, donde se encuentra su trabajo -su correo electr贸nico permite revelar tambi茅n ese dato. Por la tarde, regresa a su pueblo cogiendo el metro de la parada de Plaza de Espa帽a.

La empresa p煤blica聽Ferrocarrils de la Generalitat Valenciana dice no tener constancia de este fallo ni de que exista ninguna denuncia. Lo 煤nico que reconoce que hubo alg煤n fallo en el mes de marzo, cuando se lanz贸 la aplicaci贸n,聽pero que ya fue arreglado.

En caso de que uses el Metro de Valencia y tengas la aplicaci贸n, en El Confidencial recogen las recomendaciones del ingeniero, que aconseja encarecidamente que desinstales y borres todos los datos relacionados con la app hasta que se reconozca este agujero de seguridad oficialmente y den una soluci贸n.


El contenido del art铆culo se adhiere a nuestros principios de 茅tica editorial. Para notificar un error pincha aqu铆.

S茅 el primero en comentar

Deja tu comentario

Tu direcci贸n de correo electr贸nico no ser谩 publicada. Los campos obligatorios est谩n marcados con *

*

*

  1. Responsable de los datos: Actualidad Blog
  2. Finalidad de los datos: Controlar el SPAM, gesti贸n de comentarios.
  3. Legitimaci贸n: Tu consentimiento
  4. Comunicaci贸n de los datos: No se comunicar谩n los datos a terceros salvo por obligaci贸n legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu informaci贸n.