Çok uzun zaman önce değil Vox web sitesi saldırıya uğradı böylece tarafla ilgili birçok kişinin kişisel verilerini ortaya çıkarıyoruz ve şimdi hassas ve özel bilgilerin keşfini tekrarlamak zorundayız: kullanıcılarına ait olan Valensiya Metro uygulaması.
Bir API hatası: uygulama deliği
Bir güvenlik deliği resmi metro uygulaması Valensiya ve tramvay kişisel bilgilerin çıkış kapısı olmuştur. yaklaşık 60.000 kullanıcı - yakında söylenir. Arıza, FGV'yi (Ferrocarrils de la Generalitat Valenciana) ve Proconsi'yi (uygulamayı geliştiren şirket) kişisel nitelikteki veri koruma hakkını ihlal etmekle suçlayarak mahkemede durumu kınamaktan çekinmeyen bir mühendis tarafından keşfedildi. .
Ortam tarafından toplandığı gibi Valencia Meydanı, şikayete bir çalışma eşlik eder ve "noktadan noktaya" başarısızlığın açıklaması bu, uygulamanın API'sinde bir hata olur. Aynı şekilde İspanya Veri Koruma Ajansı'na (AEPD) bir mektup gönderildi.
Ortaya çıkan veriler çok çeşitlidir ve e-posta, cinsiyet veya bir kişinin metroda seyahat sayısından tam adı, kimlik numarası, doğum tarihi, posta adresi ve telefon numarasına kadar her şeyi içerir.
API'nin korumasının kaldırılması (herhangi bir kimlik doğrulaması gerektirmez), herkesin bir sunucuya istek önemli bir sorun yok Mühendis, yukarıda belirtilen Valensiya satış noktasına tüm kayıtlı kullanıcıların verilerine nispeten basit bir şekilde erişilebileceğini göstermiştir. almanın da oldukça kolay olacağından şüpheleniliyor. kredi kartı numarası yolcuların (çünkü o kayıt da mevcuttur ve Son kullanma tarihleri ve ait oldukları banka), ancak mühendis "suç işlememek için" bunu yapmaya çalışmamıştır.
Anonim kalmayı tercih eden mühendis, bunun, bir uygulamanın oluşturulmasını şu kişilere emanet etmenin sonucundan başka bir şey olmadığını eleştirdi: kalifiye değil bunun için:
Kimlik doğrulama her şey için bir ön koşuldur yazılım özel bilgileri işleyen genel erişim ve bu durumda, sonuçları düşünmeden herhangi bir kimlik doğrulama türü uygulamamaya karar verilmiştir. […] kalifiye profesyoneller tarafından geliştirilmemiştir.
Mühendis, konunun ciddiyetini göstermek için raporunda rasgele bir kişi seçer. detaylar tüm hareketleri. Böylece, La Ribera'da yaşayan, her gün aynı saatte metroya binen ve onunla işinin bulunduğu Valensiya'nın merkezine seyahat eden bir Valencia Metro kullanıcısı olduğu görülebilir - e-postası bize izin veriyor bu verileri de ortaya çıkarmak için. Öğleden sonra Plaza de España durağından metroya binerek kasabasına döner.
Halka açık şirket Ferrocarrils de la Generalitat Valenciana diyor ki kaydı yok Bu kararın veya herhangi bir şikayetin olup olmadığı. Uygulamanın başlatıldığı Mart ayında bir hata olduğunu ancak bunun zaten düzeltildiğini tanıyan tek şey.
Valensiya Metrosunu kullanmanız ve uygulamaya sahip olmanız durumundaiçinde Gizli almak şiddetle tavsiye eden mühendisin tavsiyeleri kaldır ve sil Bu güvenlik açığı resmi olarak tanınana ve çözüm sağlanana kadar uygulama ile ilgili tüm veriler.