不久前 Vox 网站被黑了 从而发现许多与党有关的人的个人数据,现在我们不得不再次回应敏感和私人信息的发现:属于用户的信息 瓦伦西亚地铁应用程序.
API 错误:应用程序漏洞
一个安全漏洞 官方地铁应用程序 和瓦伦西亚的电车一直是个人信息的出口门 近 60.000 名用户 ——据说很快。 该故障已被一名工程师发现,他毫不犹豫地在法庭上谴责这种情况,指责 FGV (Ferrocarrils de la Generalitat Valenciana) 和 Proconsi(开发该应用程序的公司)侵犯了个人数据保护权.
由媒体收集 瓦伦西亚广场, 投诉附有一项研究和 “逐点”失败的解释 这将是应用程序 API 中的错误。 同样,已向西班牙数据保护局 (AEPD) 发送了一封信。
披露的数据非常多样,包括从电子邮件、性别或一个人乘坐地铁的次数到他们的全名、身份证号码、出生日期、邮政地址和电话号码的所有内容。
API 的去保护(它不需要任何类型的身份验证)允许任何人能够进行 请求服务器 没有大问题。 工程师已向上述瓦伦西亚商店证明,可以通过相对简单的方式访问所有注册用户的数据。 估计也很容易获得 信用卡号 旅行者的(因为该记录也存在并且可以看到 到期日 以及他们所属的银行),但工程师并没有试图这样做“以免犯罪”。
这位不愿透露姓名的工程师批评说,这无非是将应用程序的创建委托给那些不了解的人的结果。 不合格 为它:
认证是一切的前提 软件 处理私人信息的公共访问权限,在这种情况下,决定在不考虑后果的情况下不实施任何类型的身份验证。 […] 尚未由合格的专业人员开发。
为了证明事情的严重性,工程师在他的报告中随机选择了一个人,从中 细节 他所有的动作。 由此可见,有一位瓦伦西亚地铁用户住在拉里贝拉,每天同一时间乘坐地铁,与他一起前往他工作所在的瓦伦西亚市中心——他的电子邮件允许我们也揭示该数据。 下午,他从西班牙广场站乘坐地铁返回家乡。
上市公司 Ferrocarrils de la Generalitat Valenciana 说 没有记录 该裁决或有任何投诉。 唯一承认在 XNUMX 月份应用程序启动时存在错误,但它已经被修复。
如果您使用瓦伦西亚地铁并拥有应用程序在 的机密 捡起 工程师的建议,他强烈建议 卸载并删除 与应用程序相关的所有数据,直到这个安全漏洞被正式承认并给出解决方案。