Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
▼
2018
(Total:
150
)
-
▼
diciembre
(Total:
25
)
- Serivicio Alertas de Google
- 800 bares emitían fútbol pirata con descodificador...
- Actualizaciones de Seguridad para Internet Explore...
- Routers ADSL Livebox de España revelan SSID y cont...
- Dos detenidos por usar Drones que provocaron cierr...
- Usuario pidió los datos de su actividad a Amazon y...
- Fallo App Metrovalencia deja al descubierto los da...
- Nuevas vulnerabilidades procesadores Intel
- Microsoft Windows Sandbox, ejecuta aplicaciones de...
- Error en Twitter permitía apps de terceros leer tu...
- Actualizaciones críticas para SQLite, PhpMyAdmin y...
- Fotos privadas de 6,8 millones de usuarios de Face...
- La9 de Anonymous hackea la página web de Vox
- Autor del DDoS a ProtonMail condenado a 3 años en ...
- Segundo agujero de seguridad en Google+ expone dat...
- 415.000 routers MikoTik secuestrados para minar cr...
- Un niño de 7 años es la estrella de YouTube, el qu...
- Importante agujero de seguridad encontrado en Kube...
- El FBI creó un sitio web falso de FeDex para desen...
- Envío no solicitado de fotografías de penes en iPh...
- 100 millones de cuentas hackeadas de Quora
- Policía consigue parar un Tesla en piloto automáti...
- Hoteles Marriott sufre una filtración de datos con...
- Últimos tests de Firefox para implementar DNS-over...
- Red Hat Academy se integra en la Universidad de Sa...
-
▼
diciembre
(Total:
25
)
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Fallo App Metrovalencia deja al descubierto los datos de 60.000 usuarios
viernes, 21 de diciembre de 2018
|
Publicado por
el-brujo
|
Editar entrada
La API de las aplicaciones para móvil de Metrovalencia y el TRAM
dejan al descubierto los datos de 60.000 usuarios del servicio de
transporte de la Generalitat. Así lo ha denunciado en un juzgado de
València un ingeniero informático que señala a Ferrocarrils de la
Generalitat Valenciana (FGV) y a la empresa de software que realizó la app por presunta violación del derecho de protección de datos de carácter personal.
En plena locura por el cumplimiento de la
ley de Protección de Datos la situación parece muy grave, ya que el
agujero informático generado en la aplicación permite que cualquier
persona a través de internet pueda no solo acceder sino también
manipular libremente la información de los usuarios registrados –59.894
en el momento de la denuncia–, incluyendo su dirección de correo
electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección
postal completa y número de teléfono.
El
informático que ha presentado la denuncia, que también ha remitido un
escrito a la Agencia Española de Protección de Datos (AEPD), adjunta en
la misma una auditoría donde explica, punto por punto, el problema que
lleva a que estos datos estén en abierto. Según afirma radica en la API,
interfaz de programación de aplicaciones, que está disponible de forma
pública en internet. Esta API carece de autenticación, es decir, no
valida quién realiza las peticiones, por lo que cualquiera puede acceder
a los datos de todos los usuarios.
"La autenticación es un requisito indispensable en todo software
de acceso público que maneja información privada y en este caso se ha
optado por no implementar ningún tipo de autenticación sin pensar en las
consecuencias. Se puede afirmar sin lugar a dudas que no se trata de un
fallo de seguridad; el software se ha concebido así
directamente porque no ha sido desarrollado por profesionales
cualificados", asegura este ingeniero en la auditoría.
Seguimiento de los viajes
No
solo son los datos personales los que quedan al descubierto, también
las tarjetas de transporte asociadas a cada usuario y, por tanto, sus
movimientos en el metro o tranvía, fecha, hora y tipo de acciones como
entrada o salida. Estos datos permiten conocer la ubicación exacta de
todos los usuarios y establecer sus patrones de movimiento. También es
posible ver las compras realizadas por cada usuario, incluyendo el
título de transporte recargado, el importe y la fecha.
En
su denuncia, el informático aporta datos de los movimientos de una
persona elegida al azar, residente en un municipio de La Ribera, que
todos los días coge el metro a la misma hora para trasladarse a su
trabajo en el centro de València –su dirección de correo electrónico
revela dónde trabaja–, y que por la tarde regresa a su pueblo desde la
misma estación, la de Plaza de España.
Más
grave aún es que también permite el acceso a la fecha de caducidad y la
marca de las tarjetas, lo que permitiría realizar pagos. "Esto supone
la realización de recargas no autorizadas de tarjetas de transporte y,
por tanto, de cobros ilícitos con tarjeta bancaria, siempre y cuando la
pasarela de pago no tenga autenticación de doble factor", recoge la
auditoría. No obstante, el denunciante avisa de que este último punto es
teórico ya que es ilegal realizar la comprobación.
De hecho, apunta incluso a la posibilidad
de realizar una recarga indicando importes de distinto cobro y de
recarga, por lo que entiende que es posible recargar 10 euros en una
tarjeta pagando solo 0,01, por ejemplo. Según la denuncia, también sería
factible cambiar la contraseña de los usuarios, realizar devoluciones
de pagos y eliminar o añadir tarjetas de crédito.
"El
hecho de aceptar pagos con tarjetas bancarias exige el cumplimiento de
unos estándares de seguridad muy estrictos, véase Payment Card Industry
Data Security Standards, que ni el software ni la infraestructura de Ferrocarrils de la Generalitat Valenciana cumplen", asegura.
Solución: desactivar la 'app'
En la auditoría también se proponen medidas para solucionar la situación. En primer lugar, desactivar los servicios de la app
con efecto inmediato hasta que se cumpla la legislación. Por otro lado,
realizar una investigación para descubrir si la información pública ha
sido descargada o explotada por terceras partes. A esta cuestión suma la
necesidad de emitir nuevas tarjetas de los usuarios afectados con nueva
numeración para que si alguien ha descargado su información no puedan
seguir monitorizándoles, además de auditar su nuevo software y poner la auditoría a disposición de los usuarios.
También
señala la necesidad de condenar "duramente" este tipo de situaciones y
exigir que profesionales cualificados se encarguen de diseñar e
implementar los productos que la sociedad utiliza en el día a día,
siendo la informática una pieza esencial en la misma. "Si el estándar de
calidad de FGV es el que ha quedado patente en esta pequeña auditoría,
¿qué garantías tienen los ciudadanos de que el resto de software e infraestructura informática cumplen con la legislación?", se pregunta.
FGV no sabe nada
El periódico "ValenciaPlaza" preguntó este miércoles a la empresa pública FGV, que aseguró
que no han recibido notificación alguna ni del juzgado ni de la AEPD.
Reconoce que hubo algún fallo cuando se lanzó la app el pasado
mes de marzo, pero asegura que, tras ser advertidos por algún usuario a
través de las redes sociales, estos fallos fueron corregidos.
Las fuentes consultadas se mostraron muy extrañadas porque la empresa pública utiliza el servidor de la Generalitat. La app
fue desarrollado por la empresa leonesa Proconsi, que ganó el concurso
convocado por la Gerencia de FGV al ofrecer 49.750 euros.
Fuentes:
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
AEPD
,
api
,
apk
,
app
,
data leak
,
FGV
,
filtración
,
metro
,
metro valencia
,
privacidad
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.