Inte så länge sedan Vox webbplats hackades därigenom avslöjar personuppgifterna för många personer relaterade till partiet och nu måste vi återigen upprepa upptäckten av känslig och privat information: den som tillhör användarna av Valencia Metro app.
En API-bugg: apphålet
Ett säkerhetshål i den officiella tunnelbaneappen och spårvagn i Valencia har varit utgångsdörren för personlig information om nästan 60.000 XNUMX användare -sägs det snart. Misslyckandet har upptäckts av en ingenjör som inte har tvekat att fördöma situationen i domstol, och anklagar FGV (Ferrocarrils de la Generalitat Valenciana) och Proconsi (företaget som utvecklade appen) för att kränka rätten till dataskydd av personlig karaktär. .
Som insamlat av mediet ValenciaPlaza, klagomålet åtföljs av en studie och förklaring av felet "punkt för punkt" vilket skulle vara ett fel i applikationens API. Likaså har ett brev skickats till den spanska dataskyddsmyndigheten (AEPD).
Uppgifterna som avslöjas är mycket varierande och inkluderar allt från e-post, kön eller antalet gånger en person har rest med tunnelbanan till sitt fullständiga namn, ID-nummer, födelsedatum, postadress och telefonnummer.
Avskyddandet av API:t (det kräver inte någon typ av autentisering) gör att alla kan göra en begäran till servern inga större problem. Ingenjören har visat för ovannämnda valencianska butik att alla registrerade användares data kan nås på ett relativt enkelt sätt. Man misstänker att det också skulle vara ganska lätt att få tag på kreditkortsnummer av resenärerna (eftersom det rekordet också finns och det är möjligt att se Utgångsdatum och banken som de tillhör), men ingenjören har inte försökt göra det "för att inte begå ett brott".
Ingenjören, som föredrar att vara anonym, har kritiserat att detta inte är något annat än resultatet av att anförtro skapandet av en app till personer som är inte kvalificerad för det:
Autentisering är en förutsättning för allt programvara av offentlighet som hanterar privat information och i det här fallet har man beslutat att inte genomföra någon typ av autentisering utan att tänka på konsekvenserna. […] har inte utvecklats av kvalificerade yrkesmän.
För att visa allvaret i saken väljer ingenjören i sin rapport ut en slumpmässigt person, från vilken detaljer alla hans rörelser. Således kan det ses att det finns en användare av Valencias tunnelbana som bor i La Ribera, tar tunnelbanan samma tid varje dag och åker med honom till Valencias centrum, där hans arbete finns -hans e-post tillåter oss att avslöja även dessa uppgifter. På eftermiddagen återvänder han till sin stad och tar tunnelbanan från hållplatsen Plaza de España.
Det börsnoterade företaget Ferrocarrils de la Generalitat Valenciana säger har inget register av denna dom eller att det finns något klagomål. Det enda som känner igen att det fanns en bugg i mars månad, när applikationen lanserades, men att den redan har åtgärdats.
Om du använder Valencia Metro och har applikationenVid El Confidencial plocka upp ingenjörens rekommendationer, som starkt rekommenderar det avinstallera och ta bort all data relaterad till appen tills detta säkerhetshål är officiellt erkänt och en lösning ges.