ไม่นานมานี้ เว็บไซต์ Vox ถูกแฮ็ก จึงเปิดโปงข้อมูลส่วนบุคคลของคนจำนวนมากที่เกี่ยวข้องกับปาร์ตี้ และตอนนี้เราต้องสะท้อนอีกครั้งถึงการค้นพบข้อมูลที่ละเอียดอ่อนและเป็นส่วนตัว ซึ่งเป็นของผู้ใช้ แอพวาเลนเซียเมโทร.
ข้อบกพร่องของ API: ช่องโหว่ของแอป
ช่องโหว่ด้านความปลอดภัย แอปรถไฟใต้ดินอย่างเป็นทางการ และรถรางแห่งวาเลนเซียเป็นประตูทางออกของข้อมูลส่วนตัวของ ผู้ใช้เกือบ 60.000 ราย - ว่ากันว่าเร็ว ๆ นี้ ความล้มเหลวถูกค้นพบโดยวิศวกรที่ไม่ลังเลที่จะประณามสถานการณ์ในศาล โดยกล่าวหาว่า FGV (Ferrocarrils de la Generalitat Valenciana) และ Proconsi (บริษัทที่พัฒนาแอป) ว่าละเมิดสิทธิ์ในการปกป้องข้อมูลในลักษณะส่วนบุคคล .
ตามที่รวบรวมโดยสื่อ วาเลนเซียพลาซ่า, การร้องเรียนจะมาพร้อมกับการศึกษาและ คำอธิบายของความล้มเหลว "ทีละจุด" ซึ่งจะเป็นข้อผิดพลาดใน API ของแอปพลิเคชัน ในทำนองเดียวกัน จดหมายได้ถูกส่งไปยังหน่วยงานคุ้มครองข้อมูลของสเปน (AEPD)
ข้อมูลที่เปิดเผยมีความหลากหลายมากและครอบคลุมทุกอย่างตั้งแต่อีเมล เพศ หรือจำนวนครั้งที่คนๆ หนึ่งเดินทางด้วยรถไฟใต้ดิน ไปจนถึงชื่อนามสกุล หมายเลขประจำตัวประชาชน วันเกิด ที่อยู่ทางไปรษณีย์ และหมายเลขโทรศัพท์
การยกเลิกการป้องกัน API (ไม่จำเป็นต้องมีการพิสูจน์ตัวตนใดๆ) ทำให้ทุกคนสามารถสร้าง คำขอไปยังเซิร์ฟเวอร์ ไม่มีปัญหาใหญ่ วิศวกรได้แสดงให้ร้าน Valencian ดังกล่าวเห็นว่าข้อมูลของผู้ใช้ที่ลงทะเบียนทั้งหมดสามารถเข้าถึงได้ด้วยวิธีที่ค่อนข้างง่าย สงสัยว่าจะได้ของมาค่อนข้างง่ายเช่นกัน หมายเลขบัตรเครดิต ของผู้เดินทาง (เนื่องจากบันทึกนั้นมีอยู่และเป็นไปได้ที่จะเห็น วันหมดอายุ และธนาคารที่พวกเขาอยู่) แต่วิศวกรไม่ได้พยายามทำเช่นนั้น "เพื่อไม่ให้ก่ออาชญากรรม"
วิศวกรที่ไม่ต้องการเปิดเผยตัวตนได้วิพากษ์วิจารณ์ว่านี่เป็นเพียงผลของการมอบความไว้วางใจให้สร้างแอปให้กับผู้ที่ ไม่ผ่านการรับรอง สำหรับมัน:
การรับรองความถูกต้องเป็นข้อกำหนดเบื้องต้นสำหรับทุกสิ่ง ซอฟต์แวร์ ของการเข้าถึงสาธารณะที่จัดการข้อมูลส่วนตัว และในกรณีนี้ ได้มีการตัดสินใจว่าจะไม่ดำเนินการตรวจสอบสิทธิ์ประเภทใดๆ โดยไม่คำนึงถึงผลที่ตามมา […] ไม่ได้รับการพัฒนาโดยผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสม
เพื่อแสดงให้เห็นถึงความจริงจังของเรื่องนี้ วิศวกรในรายงานของเขาจะเลือกบุคคลโดยการสุ่มเลือกจากใคร รายละเอียด ทุกการเคลื่อนไหวของเขา ดังนั้นจึงเห็นได้ว่ามีผู้ใช้รถไฟใต้ดินวาเลนเซียที่อาศัยอยู่ในลา ริเบรา ขึ้นรถไฟใต้ดินในเวลาเดียวกันทุกวันและเดินทางไปกับเขาที่ใจกลางบาเลนเซียซึ่งเป็นที่ตั้งของที่ทำงาน - อีเมลของเขาอนุญาตให้เรา เพื่อเปิดเผยข้อมูลนั้นด้วย ในตอนบ่าย เขากลับไปยังเมืองของเขาโดยขึ้นรถไฟใต้ดินจากป้าย Plaza de España
บริษัทมหาชน Ferrocarrils de la Generalitat Valenciana กล่าว ไม่มีบันทึก ของคำวินิจฉัยนี้หรือว่ามีข้อร้องเรียนใดๆ สิ่งเดียวที่รับรู้ว่ามีข้อบกพร่องในเดือนมีนาคมเมื่อแอปพลิเคชันเปิดตัว แต่ได้รับการแก้ไขแล้ว
ในกรณีที่คุณใช้ Valencia Metro และมีแอปพลิเคชันใน El Confidencial เก็บรวบรวม คำแนะนำของวิศวกรซึ่งแนะนำอย่างยิ่งว่า ถอนการติดตั้งและลบ ข้อมูลทั้งหมดที่เกี่ยวข้องกับแอพจนกว่าช่องโหว่ด้านความปลอดภัยนี้จะได้รับการยอมรับอย่างเป็นทางการและจะได้รับแนวทางแก้ไข