Ne daleč nazaj je prišlo do vdora v spletno stran Vox s čimer smo razkrili osebne podatke številnih ljudi, povezanih s stranko, zdaj pa moramo znova ponoviti odkritje občutljivih in zasebnih informacij: tistih, ki pripadajo uporabnikom Aplikacija Valencia Metro.
Napaka API-ja: luknja v aplikaciji
Varnostna luknja uradna aplikacija podzemne železnice in tramvaj v Valencii sta bila izhodna vrata osebnih podatkov skoraj 60.000 uporabnikov - se reče kmalu. Napako je odkril inženir, ki ni okleval, da bi situacijo obtožil na sodišču in obtožil FGV (Ferrocarrils de la Generalitat Valenciana) in Proconsi (podjetje, ki je razvilo aplikacijo) kršitve pravice do varstva podatkov osebne narave .
Kot je zbral medij ValenciaPlaza, je pritožbi priložen elaborat ter razlaga napake "od točke do točke" kar bi bila napaka v API-ju aplikacije. Prav tako je bilo pismo poslano španski agenciji za varstvo podatkov (AEPD).
Razkriti podatki so zelo raznoliki in vključujejo vse od e-pošte, spola ali števila, kolikokrat je oseba potovala s podzemno železnico, do polnega imena, osebne številke, datuma rojstva, poštnega naslova in telefonske številke.
Odstranitev zaščite API-ja (ne zahteva nobene vrste preverjanja pristnosti) omogoča vsakomur, da lahko naredi zahteva strežniku brez večjih težav. Inženir je zgoraj omenjenemu valencijskemu prodajnemu mestu dokazal, da je do podatkov vseh registriranih uporabnikov mogoče dostopati na razmeroma preprost način. Domneva se, da bi bilo tudi precej enostavno dobiti številka kreditne kartice popotnikov (saj ta evidenca tudi obstaja in je možno videti Rok uporabnosti in banko, ki ji pripadajo), vendar inženir tega ni poskušal storiti, "da ne bi storil kaznivega dejanja".
Inženir, ki želi ostati neimenovan, je kritiziral, da to ni nič drugega kot rezultat zaupanja izdelave aplikacije ljudem, ki ni kvalificiran za to:
Avtentikacija je predpogoj za vse programska oprema javnega dostopa, ki obdeluje zasebne podatke, in v tem primeru je bilo odločeno, da se ne izvede nobena vrsta avtentikacije, ne da bi pomislili na posledice. […] niso razvili usposobljeni strokovnjaki.
Da bi dokazal resnost zadeve, inženir v svojem poročilu naključno izbere osebo, od katere podrobnosti vsa njegova gibanja. Tako je razvidno, da obstaja uporabnik podzemne železnice Valencia, ki živi v kraju La Ribera, se vsak dan vozi z metrojem ob isti uri in z njim potuje v središče Valencije, kjer je njegova služba - njegov e-poštni naslov nam omogoča razkriti tudi te podatke. Popoldne se vrne v svoje mesto z metrojem s postaje Plaza de España.
Javno podjetje Ferrocarrils de la Generalitat Valenciana pravi nimajo zapisa te odločitve ali da obstaja kakršna koli pritožba. Edino, kar prepozna, je bila napaka v mesecu marcu, ko je bila aplikacija zagnana, a da je že odpravljena.
V primeru, da uporabljate metro Valencia in imate aplikacijov El Confidencial zbirati priporočila inženirja, ki močno svetuje, da odstranite in izbrišite vse podatke, povezane z aplikacijo, dokler ta varnostna luknja ni uradno prepoznana in dana rešitev.