Nu cu mult timp în urmă site-ul web Vox a fost spart dezvăluind astfel datele personale ale multor persoane legate de petrecere și acum trebuie să facem din nou ecou descoperirea unor informații sensibile și private: cele aparținând utilizatorilor Aplicația de metrou Valencia.
O eroare API: gaura aplicației
O gaură de securitate în aplicația oficială de metrou iar tramvaiul din Valencia a fost ușa de ieșire a informațiilor personale ale aproape 60.000 de utilizatori -se spune curând. Eșecul a fost descoperit de un inginer care nu a ezitat să denunțe situația în instanță, acuzând FGV (Ferrocarrils de la Generalitat Valenciana) și Proconsi (compania care a dezvoltat aplicația) de încălcarea dreptului la protecția datelor cu caracter personal. .
Așa cum este colectat de mediu ValenciaPlaza, reclamatia este insotita de un studiu si explicația eșecului „punct cu punct” ceea ce ar fi o eroare în API-ul aplicației. De asemenea, a fost trimisă o scrisoare către Agenția Spaniolă pentru Protecția Datelor (AEPD).
Datele dezvăluite sunt foarte variate și includ totul, de la e-mail, sex sau de câte ori o persoană a călătorit cu metroul până la numele complet, numărul de identificare, data nașterii, adresa poștală și numărul de telefon.
Deprotejarea API-ului (nu necesită niciun tip de autentificare) permite oricui să poată face un cerere către server nici o problema majora. Inginerul a demonstrat postului din Valencia menționat mai sus că datele tuturor utilizatorilor înregistrați pot fi accesate într-un mod relativ simplu. Se bănuiește că ar fi, de asemenea, destul de ușor de obținut numărul cardului de credit a călătorilor (din moment ce acea înregistrare există și este posibil să se vadă Date de expirare și banca de care aparțin), dar inginerul nu a încercat să facă acest lucru „pentru a nu săvârși o infracțiune”.
Inginerul, care preferă să rămână anonim, a criticat că acesta nu este altceva decât rezultatul încredințării creării unei aplicații unor persoane care nu este calificat pentru aceasta:
Autentificarea este o condiție prealabilă pentru orice software-ul de acces public care manipulează informații private și în acest caz s-a decis să nu se implementeze niciun tip de autentificare fără să se gândească la consecințe. […] nu a fost dezvoltat de către profesioniști calificați.
Pentru a demonstra gravitatea problemei, inginerul în raportul său selectează la întâmplare o persoană, dintre care Detalii toate mișcările lui. Astfel, se poate observa că există un utilizator al metroului Valencia care locuiește în La Ribera, ia metroul la aceeași oră în fiecare zi și călătorește cu el în centrul Valencia, unde se află munca lui - e-mailul lui ne permite pentru a dezvălui și acele date. După-amiaza, se întoarce în orașul său luând metroul din stația Plaza de España.
Compania publică Ferrocarrils de la Generalitat Valenciana spune nu au nicio înregistrare a acestei hotărâri sau că există vreo plângere. Singurul lucru care recunoaște că a existat un bug în luna martie, când a fost lansată aplicația, dar că a fost deja remediat.
În cazul în care utilizați metroul din Valencia și aveți aplicațiaîn Confidențialul ridica recomandările inginerului, care recomandă cu tărie că dezinstalați și ștergeți toate datele legate de aplicație până când această gaură de securitate este recunoscută oficial și se oferă o soluție.