Cách đây không lâu trang web Vox đã bị tấn công do đó phát hiện ra dữ liệu cá nhân của nhiều người liên quan đến bữa tiệc và bây giờ chúng ta phải lặp lại lần nữa việc phát hiện ra thông tin nhạy cảm và riêng tư: thông tin thuộc về người dùng của Ứng dụng tàu điện ngầm Valencia.
Một lỗi API: lỗ hổng ứng dụng
Một lỗ hổng bảo mật trong ứng dụng tàu điện ngầm chính thức và xe điện của Valencia đã là cửa thoát thông tin cá nhân của gần 60.000 người dùng -nó nói sớm mà. Thất bại đã được phát hiện bởi một kỹ sư đã không ngần ngại tố cáo tình huống này trước tòa, cáo buộc FGV (Ferrocarrils de la Generalitat Valenciana) và Proconsi (công ty phát triển ứng dụng) vi phạm quyền bảo vệ dữ liệu cá nhân. .
Theo phương tiện thu thập ValenciaQuảng Trường, khiếu nại được kèm theo một nghiên cứu và giải thích về sự thất bại "từng điểm một" đó sẽ là một lỗi trong API của ứng dụng. Tương tự như vậy, một lá thư đã được gửi đến Cơ quan bảo vệ dữ liệu Tây Ban Nha (AEPD).
Dữ liệu được tiết lộ rất đa dạng và bao gồm mọi thứ từ email, giới tính hoặc số lần một người đã đi tàu điện ngầm đến tên đầy đủ, số chứng minh thư, ngày sinh, địa chỉ bưu chính và số điện thoại của họ.
Việc hủy bảo vệ API (nó không yêu cầu bất kỳ loại xác thực nào) cho phép bất kỳ ai cũng có thể thực hiện yêu cầu đến máy chủ không có vấn đề lớn. Kỹ sư đã chứng minh với cửa hàng Valencian nói trên rằng dữ liệu của tất cả người dùng đã đăng ký có thể được truy cập theo cách tương đối đơn giản. Người ta nghi ngờ rằng nó cũng sẽ khá dễ dàng để có được số thẻ tín dụng của khách du lịch (vì hồ sơ đó cũng tồn tại và có thể thấy Ngày hết hạn và ngân hàng mà họ thuộc về), nhưng người kỹ sư đã không cố gắng làm như vậy "để không phạm tội".
Kỹ sư, người thích ẩn danh, đã chỉ trích rằng đây chẳng qua là kết quả của việc giao phó việc tạo ứng dụng cho những người không đủ tiêu chuẩn cho nó:
Xác thực là điều kiện tiên quyết cho mọi thứ phần mềm truy cập công cộng xử lý thông tin cá nhân và trong trường hợp này, nó đã được quyết định không thực hiện bất kỳ loại xác thực nào mà không nghĩ đến hậu quả. […] chưa được phát triển bởi các chuyên gia có trình độ.
Để chứng minh mức độ nghiêm trọng của vấn đề, kỹ sư trong báo cáo của mình chọn ngẫu nhiên một người, từ đó chi tiết mọi chuyển động của anh. Do đó, có thể thấy rằng có một người sử dụng Tàu điện ngầm Valencia sống ở La Ribera, đi tàu điện ngầm vào cùng một thời điểm hàng ngày và cùng anh ta đi đến trung tâm Valencia, nơi anh ta làm việc -email của anh ta cho phép chúng tôi để tiết lộ dữ liệu đó. Vào buổi chiều, anh ấy quay trở lại thị trấn của mình bằng cách đi tàu điện ngầm từ trạm dừng Plaza de España.
Công ty đại chúng Ferrocarrils de la Generalitat Valenciana nói không có hồ sơ về phán quyết này hoặc có bất kỳ khiếu nại nào. Điều duy nhất nhận ra rằng có một lỗi trong tháng XNUMX, khi ứng dụng được khởi chạy, nhưng nó đã được sửa.
Trong trường hợp bạn sử dụng Valencia Metro và có ứng dụngtrong Bí mật đón các khuyến nghị của kỹ sư, người khuyên mạnh mẽ rằng gỡ cài đặt và xóa mọi dữ liệu liên quan đến ứng dụng cho đến khi lỗ hổng bảo mật này được chính thức công nhận và đưa ra giải pháp xử lý.