Prednedávnom web Vox bol napadnutý čím sme odkryli osobné údaje mnohých ľudí spojených s touto stranou a teraz musíme znova zopakovať objavenie citlivých a súkromných informácií: tých, ktoré patria používateľom Aplikácia metra Valencia.
Chyba API: diera aplikácie
Bezpečnostná diera oficiálna aplikácia metra a električka z Valencie bola únikovou bránou pre osobné informácie o takmer 60.000 XNUMX používateľov - hovorí sa skoro. Zlyhanie zistil inžinier, ktorý neváhal odsúdiť situáciu na súde a obvinil FGV (Ferrocarrils de la Generalitat Valenciana) a Proconsi (spoločnosť, ktorá aplikáciu vyvinula) z porušenia práva na ochranu osobných údajov. .
Ako ich zhromaždilo médium Námestie Valencie, k sťažnosti je priložená štúdia a vysvetlenie zlyhania "bod po bode" čo by bola chyba v API aplikácie. Podobne bol zaslaný list španielskej agentúre na ochranu údajov (AEPD).
Odhalené údaje sú veľmi rôznorodé a zahŕňajú všetko od e-mailu, pohlavia alebo počtu, koľkokrát osoba cestovala v metre, až po jej celé meno, identifikačné číslo, dátum narodenia, poštovú adresu a telefónne číslo.
Deprotekcia API (nevyžaduje žiadny typ autentifikácie) umožňuje komukoľvek vytvoriť a žiadosť na server žiadny zásadný problém. Inžinier vyššie uvedenej predajni vo Valencii preukázal, že údaje všetkých registrovaných používateľov sú dostupné pomerne jednoduchým spôsobom. Existuje podozrenie, že by bolo tiež celkom ľahké získať číslo kreditnej karty cestujúcich (keďže existuje aj tento záznam a je možné ho vidieť Dátumy spotreby a banke, ktorej patria), ale inžinier sa o to nepokúsil, „aby nespáchal trestný čin“.
Inžinier, ktorý uprednostňuje zostať v anonymite, kritizoval, že nejde o nič iné ako o výsledok poverenia vytvorením aplikácie ľuďom, ktorí nie je kvalifikovaný za to:
Predpokladom všetkého je autentifikácia softvér verejného prístupu, ktorý narába so súkromnými informáciami a v tomto prípade bolo rozhodnuté neimplementovať žiadny typ autentifikácie bez toho, aby sa zamysleli nad dôsledkami. […] nebol vyvinutý kvalifikovanými odborníkmi.
Na preukázanie závažnosti veci inžinier vo svojej správe náhodne vyberie osobu, z ktorej podrobnosti všetky jeho pohyby. Je teda vidieť, že existuje užívateľ metra vo Valencii, ktorý žije v La Ribera, každý deň chodí metrom v rovnakom čase a cestuje s ním do centra Valencie, kde sa nachádza jeho práca - jeho e-mail nám umožňuje odhaliť aj tieto údaje. Popoludní sa vracia do svojho mesta metrom zo zastávky Plaza de España.
Tvrdí to verejná obchodná spoločnosť Ferrocarrils de la Generalitat Valenciana nemať záznam tohto rozsudku alebo že existuje nejaká sťažnosť. Jediná vec, ktorá spozná, že sa vyskytla chyba v mesiaci marec, keď bola aplikácia spustená, ale že už bola opravená.
V prípade, že používate metro vo Valencii a máte aplikáciuv dôverný zdvihnúť odporúčania inžiniera, ktorý to dôrazne odporúča odinštalovať a odstrániť všetky údaje súvisiace s aplikáciou, kým nebude táto bezpečnostná diera oficiálne uznaná a nebude poskytnuté riešenie.