Portada
Hace 5 años | Por A_D a valenciaplaza.com
Publicado hace 5 años por A_D a valenciaplaza.com
La 'app' de Metrovalencia deja al descubierto los datos de 60.000 usuarios

La 'app' de Metrovalencia deja al descubierto los datos de 60.000 usuarios

 valenciaplaza.com

Las aplicaciones para móvil de Metrovalencia y el TRAM tienen al descubierto los datos de 60.000 usuarios del servicio de transporte de la Generalitat. Así lo ha denunciado en un juzgado de València un ingeniero informático que señala a Ferrocarrils de la Generalitat Valenciana (FGV) y a la empresa de software que realizó la app por presunta violación del derecho de protección de datos de carácter personal.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 1.3k 32

Comentarios

demostenes
editado

Buena jugada: en vez de comunicarlo a FGV para que lo arreglen y que te denuncien por hacker, plantas tu mismo la denuncia. Este va a tener que ser el método de publicar vulnerabilidades a partir de ahora.

V 22
K 169
skaworld

Es que también es un poco de locos, que para una app del metro, que a lo sumo debería mostrarte lineas horarios y tal, tengas que darle tus datos personales.

V 7
K 74
mmm_

#3 Seguramente será para el tema de gestionar el abono y estas cosas.

V 3
K 34
skaworld

#5 No tengo ni idea de cómo va el abono en Valencia pero... ¿No hay máquinas a la entrada del metro (usease justo donde tienes que usarlo) que gestionan todo? ¿Que ventaja te ofrece una app móvil?

V 0
K 14
Democrito

#6 Parece que la app te permite usar un móvil con NFC como billete/abono

comment_25973023 media
V 4
K 35
D

#8 que a #6 lo tengo en ignore

Con la app puedes consultar toda la info, a la vez que puedes ver cuántos viajes le quedan a tu abono, también puedes recargarlo y si tu móvil es compatible (NFC y cuando yo lo miré tenia que ser Movistar,Vodafone u Orange) puedes utilizar el móvil para viajar.

V 3
K 30
skaworld

#8 Ajum, entiendo, tienes razon, aun así sigo sin sentirme cómodo con tener que entregar mis datos para cada misera interacción con cualquier cosa.

V 1
K 21
skaworld
editado

#18 Repito, entiendo la lógica y teneis razón, pero sigo diciendo que no me siento nada cómodo entregando mis datos personales, direccion postal y datos bancarios a aplicaciones para supuestamente ganar comodidad que tampoco veo tan acuciante (Ni uso el NFC ni se por que ventaja me aportaría usarlo) y si una brecha de seguridad.

Vamos todo lo que has dicho se supone que deberia ser factible hacerlo desde la Web, una aplicacion unica donde concentrar esfuerzos por dejarla fina, no 2 aplicaciones una de android y otra de ios con las consiguientes vulnerabilidades , amos pero te admito que esto es una queja personal y de cabezonería, no quiero dieciocho millones de aplicaciones en mi movil desarrolladas por vaya usted a saber quien corriendo 24h con conexion a internet y accesos a permisos como mi camara, mi geolocalizacion, microfono, lista de contactos... que por encima me obligan a registrarme. Desde mi punto de vista, es una locura.

CC #8

V 2
K 24
skaworld

#27 goto #20

V 0
K 14
r

#20 Evidentemente, desde el punto de vista de la seguridad, esas aplicaciones deberían tener los datos personales mínimos para poder funcionar. Si puede no tener ninguno y usar algún ID interno, mejor que mejor.

En cualquier caso, y a falta de más detalles, creo que la problemática es otra. No es que la aplicación del móvil sea insegura en sí. De hecho no dice mucho de la app (y podría ser perfectamente segura). La mención de Postman me hace pensar que el problema es que la app se comunica con una API que está diseñada sin tener en mente unos mínimos requisitos de seguridad, en la que cualquiera puede tener acceso a todo.

V 3
K 23
r
editado

#6 Tiene muchas teóricas (no sé si Metro de Valencia las tiene implementadas):

1. Saber cuándo se te caduca.
2. Poder recargar tu abono desde el móvil. Pensarás "¿para qué, si lo puedo recargar en el metro?", pero si tu primer transporte que coges es un bus (donde no hay máquinas para recargar), y se te ha olvidado recargar, te toca palmar un sencillo.
3. Idealmente, poder "meter" el abono en la app y usar el abono desde el móvil (igual que puedes pagar con Android Pay).

Y seguro que si nos ponemos a pensar sacamos más.

V 3
K 42
adruki

#18 Sobre el punto 2 (ya sé que no lo has preguntado, pero lo explico igual), las tarifas no están integradas entre metro y bus, y supongo que es porque el metro pertenece a la Generalitat Valenciana (FGV - Ferrocarrils de la Generalitat), y el autobús al Ayuntamiento de Valencia (EMT - Empresa Municipal de Transportes).

V 0
K 6
G

#22 puedes sacarte abono transbordo, que sirve para metro, emt y metrobus.

V 0
K 6
r

#22 Lo comentaba pensando en el abono de Madrid. El de Valencia no lo he usado nunca.

V 0
K 10
D

#6 No sé si es el caso, pero yo tengo un app del tren de mi ciudad. Con ella puedo:
1) ver los trenes que vienen
2) calcular ruta óptima
3) comprar billetes antes o durante el trayecto

El último punto es interesante porque si llegas justo, te montas, y ya compras el billete dentro, que algunos trenes traen la máquina pero otros no. Además, te evitas tener que llevar dinero encima (si, podría activar monedero en la tarjeta y listo, pero no lo hice en su momento...)

V 1
K 21
Cehona

#3 Ocurre con todas las app que se instalan en el móvil, piden permiso para acceder a todos tus datos, fotos, etc
Las agencias de protección de datos europeas ni se inmutan.

V 2
K 29
m

#3 eso es parte del robo

V 1
K 20
D

Pero que app ni que leches, si hasta el cuerpo de la noticia explica que es el backend con todo lujo de detalles tecnicos.

V 4
K 33
P

#11 Yo también odio cuando culpan a las apps de fallos en los servidores...

V 0
K 9
lainDev

"el software se ha concebido así directamente porque no ha sido desarrollado por profesionales cualificados"

A ver si ahora se toman más en serio que no cualquiera puede realizar una aplicación informática de calidad.

V 1
K 16
eldelshell

#13 De la noticia: "al ofrecer 49.750 euros"

No he usado la app, pero es un precio algo ajustado si es solo las apps y ridiculo si es todo el sistema (front y back). De todas formas, no parece que sea responsabilidad de la empresa que hizo las apps (Proconsi) si el "fallo" es que el backend no tenga autorización.

V 0
K 9
Cehona

Eso les pasa por no tener a Santiago Abascal en la agencia de protección de datos, estarían mejor protegidos.

V 0
K 12
Endor_Fino

Genius!
.

comment_25972885 media
V 0
K 10
cosmonauta
editado

¡Becario! ¡Vigila que no nos hackeen la app que la liamos!

Tranquilo, jefe, ..que no le he puesto ninguna seguridad, y así no hay nada que hackear.

V 2
K 9
Candidatas
7
meneos
tecnología ¿Cuántos coches eléctricos hay en España?
28
meneos
tecnología Cómo los teléfonos móviles están matando a nuestros hijos y qué podemos hacer al respecto
21
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
11
meneos
tecnología Una capa de oro de un solo átomo: los investigadores de LiU crean goldene (eng)
18
meneos
tecnología Se suponía que las escuelas simplemente bloquearían la pornografía. En lugar de eso, sabotearon las tareas escolares y censuraron los sitios de prevención del suicidio (EN)
13
meneos
tecnología El ex presidente de Blizzard propone dejar una propina de 10 o 20 dólares a los desarrolladores por sus juegos
8
meneos
tecnología TSMC impondrá una prima por producir chips fuera de Taiwán: Una estrategia geopolítica y económica
6
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
5
meneos
tecnología La maldición de Monkey Island (The Curse of Monkey Island) (ENG)
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
9
meneos
tecnología Sí, has oído bien, se ha filtrado una nueva versión de Windows 7
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
7
meneos
tecnología El 87% de los compradores de un Tesla en E.E.U.U volverían a comprárselo
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
15
meneos
tecnología Paga 14.000 euros por 10 horas de trabajo a un artista que utiliza IA y se emociona al asegurar que "nadie está a su nivel"
8
meneos
tecnología Tiktoktives Cap.2
5
meneos
tecnología Mario conoce a Pareto (ENG)
6
meneos
tecnología Cómo verificar la autenticidad y el origen de fotografías y vídeos
6
meneos
tecnología GPT-4 Turbo llega a los usuarios de ChatGPT Plus. Ahora sus respuestas son más directas y sufren menos verborrea
Gandia

Se veía venir, si alguien ha usado esa app alguna vez, sabe a qué me refiero.

V 0
K 9
anv

Pues a avisarles urgente a todos porque si no la multa puede ser grande.

V 0
K 7
elperolo
editado

Que pena.Se le ve superviolento al tal Santiago, no así a Pablo Iglesias.

V 0
K 6
j

Y más denuncias tendría que haber en proyectos it.

Ves en todas partes a jefes que no tienen npi del trabajo que supervisan y gente que ni recibe formación ni salario acorde a su responsabilidad.

V 0
K 6
D
editado

Otro eksito del PSPV-Compromís

V 3
K -4
TiJamásLlevaTilde

#12 Sí, seguramente PSPV o Compromís hayan dicho "informático de turno, no pongáis ningún tipo de autentificación en la API". Algunos os empeñáis a meter política en cualquier noticia, con calzador o a cañonazos.

V 1
K 22
D
editado

#14 ¿Entonces para qué coño están en la Conselleria?
¿Para lavarse las manos?
¿Quién aprueba el pliego?
¿Quién revisa los puntos de cada empresa que se presenta a la adjudicación?
¿Quién firma la recepción y el ok del producto?

¿La herencia recibida?

V 1
K 6
thorpedo

#14 deja al astrosurfer este en paz... don't feed the troll

V 0
K 7