Hindi pa matagal na-hack ang website ng Vox sa gayon ay natuklasan ang personal na data ng maraming tao na may kaugnayan sa partido at ngayon ay kailangan nating ulitin ang pagtuklas ng sensitibo at pribadong impormasyon: na pagmamay-ari ng mga gumagamit ng Valencia Metro app.
Isang API bug: ang app hole
Isang butas ng seguridad ang opisyal na subway app at ang tram ng Valencia ay ang exit door ng personal na impormasyon ng halos 60.000 user -sabi nito sa lalong madaling panahon. Ang kabiguan ay natuklasan ng isang inhinyero na hindi nag-atubiling tuligsain ang sitwasyon sa korte, na inaakusahan ang FGV (Ferrocarrils de la Generalitat Valenciana) at Proconsi (ang kumpanyang bumuo ng app) ng paglabag sa karapatan sa proteksyon ng data ng personal na kalikasan .
Tulad ng nakolekta ng daluyan ValenciaSquare, ang reklamo ay may kasamang pag-aaral at paliwanag ng kabiguan "punto sa punto" na magiging isang error sa API ng application. Gayundin, nagpadala ng liham sa Spanish Data Protection Agency (AEPD).
Ang data na inihayag ay napaka-iba-iba at kasama ang lahat mula sa email, kasarian, o ang dami ng beses na bumiyahe ang isang tao sa subway hanggang sa kanilang buong pangalan, numero ng ID, petsa ng kapanganakan, postal address, at numero ng telepono.
Ang deprotection ng API (hindi ito nangangailangan ng anumang uri ng pagpapatunay) ay nagbibigay-daan sa sinuman na makagawa ng kahilingan sa server walang malaking problema. Ipinakita ng engineer sa nabanggit na Valencian outlet na ang data ng lahat ng mga rehistradong user ay maaaring ma-access sa medyo simpleng paraan. Ito ay pinaghihinalaang magiging madali ding makuha ang numero ng credit card ng mga manlalakbay (dahil mayroon ding rekord na iyon at posibleng makita ang Mga petsa ng pag-expire at ang bangko kung saan sila nabibilang), ngunit hindi sinubukan ng inhinyero na gawin ito "para hindi makagawa ng krimen".
Ang inhinyero, na mas gustong manatiling hindi nagpapakilala, ay pinuna na ito ay walang iba kundi ang resulta ng pagtitiwala sa paglikha ng isang app sa mga taong ay hindi kwalipikado para dito:
Ang pagpapatunay ay isang paunang kinakailangan para sa lahat software ng pampublikong pag-access na humahawak ng pribadong impormasyon at sa kasong ito ay napagpasyahan na huwag ipatupad ang anumang uri ng pagpapatunay nang hindi iniisip ang mga kahihinatnan. […] ay hindi binuo ng mga kwalipikadong propesyonal.
Upang ipakita ang kabigatan ng bagay, ang inhinyero sa kanyang ulat ay pumipili ng isang tao nang random, kung kanino mga detalye lahat ng galaw niya. Kaya, makikita na mayroong isang gumagamit ng Valencia Metro na nakatira sa La Ribera, sumasakay ng metro sa parehong oras araw-araw at naglalakbay kasama niya sa gitna ng Valencia, kung saan matatagpuan ang kanyang trabaho -ang kanyang email ay nagpapahintulot sa amin upang ihayag din ang data na iyon. Sa hapon, bumalik siya sa kanyang bayan sakay ng metro mula sa hintuan ng Plaza de España.
Sabi ng pampublikong kumpanyang Ferrocarrils de la Generalitat Valenciana walang record ng desisyong ito o na mayroong anumang reklamo. Ang tanging bagay na kinikilala na mayroong isang bug sa buwan ng Marso, noong inilunsad ang application, ngunit naayos na ito.
Kung sakaling gumamit ka ng Valencia Metro at magkaroon ng applicationSa El Confidencial pulutin ang mga rekomendasyon ng inhinyero, na mahigpit na nagpapayo nito i-uninstall at tanggalin lahat ng data na nauugnay sa app hanggang sa opisyal na kinikilala ang butas ng seguridad na ito at magbigay ng solusyon.