Не тако давно сајт Вок је хакован чиме смо открили личне податке многих људи који су повезани са странком и сада морамо поново да поновимо откриће осетљивих и приватних информација: оних које припадају корисницима Апликација метроа у Валенсији.
АПИ грешка: рупа у апликацији
Сигурносна рупа унутра званична апликација за метро а трамвај Валенсије је био излазна врата личних података скоро 60.000 корисника - каже се ускоро. Грешку је открио инжењер који није оклевао да осуди ситуацију на суду, оптужујући ФГВ (Ферроцаррилс де ла Генералитат Валенциана) и Процонси (компанију која је развила апликацију) за кршење права на заштиту података личне природе .
Како је прикупио медиј ВаленциаПлаза, уз притужбу је приложена студија и објашњење квара "тачку по тачку" што би била грешка у АПИ-ју апликације. Исто тако, писмо је послато Шпанској агенцији за заштиту података (АЕПД).
Откривени подаци су веома различити и укључују све, од е-поште, пола или броја пута када је особа путовала подземном жељезницом до пуног имена, личне карте, датума рођења, поштанске адресе и броја телефона.
Укидање заштите АПИ-ја (не захтева никакву врсту аутентификације) омогућава свакоме да може да направи захтев серверу нема већег проблема. Инжењер је поменутом валенсијском издању показао да се подацима свих регистрованих корисника може приступити на релативно једноставан начин. Сумња се да би такође било прилично лако доћи до број кредитне картице путника (пошто и тај запис постоји и могуће је видети Датуми истека и банке којој припадају), али инжењер није покушао да то учини „да не би починио кривично дело“.
Инжењер, који више воли да остане анониман, критиковао је да ово није ништа друго до резултат поверавања креирања апликације људима који није квалификован за то:
Аутентификација је предуслов за све софтвер јавног приступа који рукује приватним информацијама и у овом случају је одлучено да се не спроводи било каква врста аутентификације без размишљања о последицама. […] нису развили квалификовани стручњаци.
Да би показао озбиљност ствари, инжењер у свом извештају насумично бира особу од које детаљи сви његови покрети. Тако се може видети да постоји корисник метроа у Валенсији који живи у Ла Рибери, сваки дан иде метроом у исто време и са њим путује до центра Валенсије, где се налази његов рад - дозвољава нам његов мејл да открије и те податке. Поподне се враћа у свој град метроом са станице Плаза де Еспана.
Јавно предузеће Ферроцаррилс де ла Генералитат Валенциана каже немају евиденцију овог решења или да постоји приговор. Једина ствар која препознаје да је у марту месецу, када је апликација покренута, постојала грешка, али да је већ исправљена.
У случају да користите метро у Валенсији и имате апликацијуУ Тхе Цонфидентиал покупи препоруке инжењера, који то снажно саветује деинсталирајте и избришите сви подаци у вези са апликацијом док се ова безбедносна рупа званично не препозна и не да решење.