Não faz muito tempo o site da Vox foi hackeado descobrindo assim os dados pessoais de muitas pessoas relacionadas com o partido e agora temos que ecoar novamente a descoberta de informações confidenciais e privadas: aquelas pertencentes aos usuários do Aplicativo do Metrô de Valência.
Um bug da API: o buraco do aplicativo
Uma falha de segurança em o aplicativo oficial do metrô e bonde de Valência tem sido a porta de saída de informações pessoais de quase 60.000 usuários -diz-se logo. A falha foi descoberta por um engenheiro que não hesitou em denunciar a situação na Justiça, acusando a FGV (Ferrocarrils de la Generalitat Valenciana) e a Proconsi (empresa que desenvolveu o app) de violação do direito à proteção de dados pessoais .
Conforme coletado pelo meio ValênciaPlaza, a denúncia é acompanhada de estudo e explicação da falha "ponto a ponto" o que seria um erro na API da aplicação. Da mesma forma, foi enviada uma carta à Agência Espanhola de Proteção de Dados (AEPD).
Os dados revelados são muito variados e incluem desde e-mail, sexo ou número de vezes que uma pessoa viajou de metrô até nome completo, número de identidade, data de nascimento, endereço postal e número de telefone.
A desproteção da API (não requer nenhum tipo de autenticação) permite que qualquer pessoa possa fazer uma pedido ao servidor nenhum grande problema. O engenheiro demonstrou ao mencionado veículo valenciano que os dados de todos os usuários registrados podem ser acessados de maneira relativamente simples. Suspeita-se que também seria muito fácil obter o número de cartão de crédito dos viajantes (já que esse registro também existe e é possível ver o Datas de expiração e o banco a que pertencem), mas o engenheiro não o fez "para não cometer um crime".
O engenheiro, que prefere o anonimato, criticou que isso nada mais é do que o resultado de confiar a criação de um app a pessoas que não é qualificado para isso:
A autenticação é um pré-requisito para tudo Programas de acesso público que trata de informação privada e neste caso decidiu-se não implementar nenhum tipo de autenticação sem pensar nas consequências. […] não foi desenvolvido por profissionais qualificados.
Para demonstrar a gravidade do assunto, o engenheiro em seu relatório seleciona uma pessoa ao acaso, de quem detalhes todos os seus movimentos. Assim, pode-se constatar que existe um usuário do Metrô de Valência que mora em La Ribera, pega o metrô no mesmo horário todos os dias e viaja com ele até o centro de Valência, onde está localizado seu trabalho - seu e-mail nos permite para revelar também esses dados. À tarde, ele volta para sua cidade pegando o metrô na estação Plaza de España.
A empresa pública Ferrocarrils de la Generalitat Valenciana diz não tem registro desta decisão ou que haja alguma reclamação. A única coisa que reconhece é que houve um bug no mês de março, quando o aplicativo foi lançado, mas que já foi corrigido.
Caso você use o Metrô de Valência e tenha o aplicativoem A Confidencial recolher as recomendações do engenheiro, que aconselha enfaticamente que desinstalar e deletar todos os dados relacionados ao aplicativo até que essa falha de segurança seja oficialmente reconhecida e uma solução seja fornecida.