Не так давно сайт Vox был взломан тем самым раскрывая личные данные многих людей, связанных с партией, и теперь мы должны снова повторить обнаружение конфиденциальной и частной информации: той, которая принадлежит пользователям Приложение метро Валенсии.
Ошибка API: дыра в приложении
Дыра в безопасности официальное приложение метро и трамвай Валенсии был дверью выхода личной информации почти 60.000 XNUMX пользователей - сказано скоро. Сбой был обнаружен инженером, который без колебаний осудил ситуацию в суде, обвинив FGV (Ferrocarrils de la Generalitat Valenciana) и Proconsi (компанию, разработавшую приложение) в нарушении права на защиту данных личного характера. .
Собранные средой ВаленсияПлаза, жалоба сопровождается исследованием и объяснение отказа "по пунктам" что было бы ошибкой в API приложения. Кроме того, письмо было отправлено в Испанское агентство по защите данных (AEPD).
Выявляемые данные очень разнообразны и включают в себя все: от электронной почты, пола или количества поездок человека в метро до его полного имени, идентификационного номера, даты рождения, почтового адреса и номера телефона.
Снятие защиты API (он не требует какой-либо аутентификации) позволяет любому сделать запрос к серверу нет серьезной проблемы. Инженер продемонстрировал вышеупомянутому валенсийскому изданию, что доступ к данным всех зарегистрированных пользователей можно получить относительно простым способом. Подозревается, что также было бы довольно легко получить номер кредитной карты путешественников (поскольку эта запись тоже существует и можно увидеть Срок годности и банк, которому они принадлежат), но инженер не пытался этого сделать, «чтобы не совершить преступление».
Инженер, предпочитающий оставаться анонимным, раскритиковал это за то, что это не более чем результат того, что создание приложения было доверено людям, которые не квалифицирован для этого:
Аутентификация является обязательным условием для всего программное обеспечение публичного доступа, который обрабатывает частную информацию, и в этом случае было решено не применять какой-либо тип аутентификации, не думая о последствиях. […] не был разработан квалифицированными специалистами.
Чтобы продемонстрировать серьезность дела, инженер в своем отчете наугад выбирает человека, из которого Детали все его движения. Таким образом, можно увидеть, что есть пользователь метро Валенсии, который живет в Ла-Рибера, ездит на метро в одно и то же время каждый день и едет с ним в центр Валенсии, где находится его работа - его электронная почта позволяет нам выявить и те данные. Во второй половине дня он возвращается в свой город на метро от остановки Plaza de España.
Об этом сообщает публичная компания Ferrocarrils de la Generalitat Valenciana. нет записи этого постановления или что есть какие-либо жалобы. Единственное, что признает, что была ошибка в марте месяце, когда приложение было запущено, но что она уже исправлена.
Если вы пользуетесь метро Валенсии и у вас есть приложение, en Конфиденциальные поднимать рекомендации инженера, который настоятельно рекомендует удалить и удалить все данные, связанные с приложением, до тех пор, пока эта дыра в безопасности не будет официально признана и не будет найдено решение.