不久前 Vox 網站被黑了 從而發現許多與黨有關的人的個人數據,現在我們不得不再次回應敏感和私人信息的發現:屬於用戶的信息 瓦倫西亞地鐵應用程序.
API 錯誤:應用程序漏洞
一個安全漏洞 官方地鐵應用程序 和瓦倫西亞的電車一直是個人信息的出口門 近 60.000 名用戶 ——據說很快。 該故障已被一名工程師發現,他毫不猶豫地在法庭上譴責這種情況,指責 FGV (Ferrocarrils de la Generalitat Valenciana) 和 Proconsi(開發該應用程序的公司)侵犯了個人數據保護權.
由媒體收集 瓦倫西亞廣場, 投訴附有一項研究和 “逐點”失敗的解釋 這將是應用程序 API 中的錯誤。 同樣,已向西班牙數據保護局 (AEPD) 發送了一封信。
披露的數據非常多樣,包括從電子郵件、性別或一個人乘坐地鐵的次數到他們的全名、身份證號碼、出生日期、郵政地址和電話號碼的所有內容。
API 的去保護(它不需要任何類型的身份驗證)允許任何人能夠進行 請求服務器 沒有大問題。 工程師已向上述瓦倫西亞商店證明,可以通過相對簡單的方式訪問所有註冊用戶的數據。 估計也很容易獲得 信用卡號 旅行者的(因為該記錄也存在並且可以看到 到期日 以及他們所屬的銀行),但工程師並沒有試圖這樣做“以免犯罪”。
這位不願透露姓名的工程師批評說,這無非是將應用程序的創建委託給那些不了解的人的結果。 不合格 為它:
認證是一切的前提 軟體 處理私人信息的公共訪問權限,在這種情況下,決定在不考慮後果的情況下不實施任何類型的身份驗證。 […] 尚未由合格的專業人員開發。
為了證明事情的嚴重性,工程師在他的報告中隨機選擇了一個人,從中 細節 他所有的動作。 由此可見,有一位瓦倫西亞地鐵用戶住在拉里貝拉,每天同一時間乘坐地鐵,與他一起前往他工作所在的瓦倫西亞市中心——他的電子郵件允許我們也揭示該數據。 下午,他從西班牙廣場站乘坐地鐵返回家鄉。
上市公司 Ferrocarrils de la Generalitat Valenciana 說 沒有記錄 該裁決或有任何投訴。 唯一認識到在 XNUMX 月份應用程序啟動時存在錯誤,但它已經被修復。
如果您使用瓦倫西亞地鐵並擁有應用程序在 厄爾尼諾Confidencial 撿起 工程師的建議,他強烈建議 卸載並刪除 與應用程序相關的所有數據,直到這個安全漏洞被正式承認並給出解決方案。