EDICIóN GENERAL
359 meneos
1200 clics
La 'app' de Metrovalencia deja al descubierto los datos de 60.000 usuarios

La 'app' de Metrovalencia deja al descubierto los datos de 60.000 usuarios

Las aplicaciones para móvil de Metrovalencia y el TRAM tienen al descubierto los datos de 60.000 usuarios del servicio de transporte de la Generalitat. Así lo ha denunciado en un juzgado de València un ingeniero informático que señala a Ferrocarrils de la Generalitat Valenciana (FGV) y a la empresa de software que realizó la app por presunta violación del derecho de protección de datos de carácter personal.

| etiquetas: metro , valencia , app , datos
Buena jugada: en vez de comunicarlo a FGV para que lo arreglen y que te denuncien por hacker, plantas tu mismo la denuncia. Este va a tener que ser el método de publicar vulnerabilidades a partir de ahora.
¡Becario! ¡Vigila que no nos hackeen la app que la liamos!

Tranquilo, jefe, ..que no le he puesto ninguna seguridad, y así no hay nada que hackear.
Es que también es un poco de locos, que para una app del metro, que a lo sumo debería mostrarte lineas horarios y tal, tengas que darle tus datos personales.
#3 Seguramente será para el tema de gestionar el abono y estas cosas.
#5 No tengo ni idea de cómo va el abono en Valencia pero... ¿No hay máquinas a la entrada del metro (usease justo donde tienes que usarlo) que gestionan todo? ¿Que ventaja te ofrece una app móvil?
#6 Parece que la app te permite usar un móvil con NFC como billete/abono  media
#8 que a #6 lo tengo en ignore :-P

Con la app puedes consultar toda la info, a la vez que puedes ver cuántos viajes le quedan a tu abono, también puedes recargarlo y si tu móvil es compatible (NFC y cuando yo lo miré tenia que ser Movistar,Vodafone u Orange) puedes utilizar el móvil para viajar.
#8 Ajum, entiendo, tienes razon, aun así sigo sin sentirme cómodo con tener que entregar mis datos para cada misera interacción con cualquier cosa.
#18 Repito, entiendo la lógica y teneis razón, pero sigo diciendo que no me siento nada cómodo entregando mis datos personales, direccion postal y datos bancarios a aplicaciones para supuestamente ganar comodidad que tampoco veo tan acuciante (Ni uso el NFC ni se por que ventaja me aportaría usarlo) y si una brecha de seguridad.

Vamos todo lo que has dicho se supone que deberia ser factible hacerlo desde la Web, una aplicacion unica donde concentrar esfuerzos por dejarla fina, no 2…   » ver todo el comentario
#20 Evidentemente, desde el punto de vista de la seguridad, esas aplicaciones deberían tener los datos personales mínimos para poder funcionar. Si puede no tener ninguno y usar algún ID interno, mejor que mejor.

En cualquier caso, y a falta de más detalles, creo que la problemática es otra. No es que la aplicación del móvil sea insegura en sí. De hecho no dice mucho de la app (y podría ser perfectamente segura). La mención de Postman me hace pensar que el problema es que la app se comunica con una API que está diseñada sin tener en mente unos mínimos requisitos de seguridad, en la que cualquiera puede tener acceso a todo.
#6 Tiene muchas teóricas (no sé si Metro de Valencia las tiene implementadas):

1. Saber cuándo se te caduca.
2. Poder recargar tu abono desde el móvil. Pensarás "¿para qué, si lo puedo recargar en el metro?", pero si tu primer transporte que coges es un bus (donde no hay máquinas para recargar), y se te ha olvidado recargar, te toca palmar un sencillo.
3. Idealmente, poder "meter" el abono en la app y usar el abono desde el móvil (igual que puedes pagar con Android Pay).

Y seguro que si nos ponemos a pensar sacamos más.
#18 Sobre el punto 2 (ya sé que no lo has preguntado, pero lo explico igual), las tarifas no están integradas entre metro y bus, y supongo que es porque el metro pertenece a la Generalitat Valenciana (FGV - Ferrocarrils de la Generalitat), y el autobús al Ayuntamiento de Valencia (EMT - Empresa Municipal de Transportes).
#22 puedes sacarte abono transbordo, que sirve para metro, emt y metrobus.
#22 Lo comentaba pensando en el abono de Madrid. El de Valencia no lo he usado nunca.
#6 No sé si es el caso, pero yo tengo un app del tren de mi ciudad. Con ella puedo:
1) ver los trenes que vienen
2) calcular ruta óptima
3) comprar billetes antes o durante el trayecto

El último punto es interesante porque si llegas justo, te montas, y ya compras el billete dentro, que algunos trenes traen la máquina pero otros no. Además, te evitas tener que llevar dinero encima (si, podría activar monedero en la tarjeta y listo, pero no lo hice en su momento...)
#3 Ocurre con todas las app que se instalan en el móvil, piden permiso para acceder a todos tus datos, fotos, etc
Las agencias de protección de datos europeas ni se inmutan.
#3 eso es parte del robo
Se veía venir, si alguien ha usado esa app alguna vez, sabe a qué me refiero.
Genius!
.  media
Pues a avisarles urgente a todos porque si no la multa puede ser grande.
Pero que app ni que leches, si hasta el cuerpo de la noticia explica que es el backend con todo lujo de detalles tecnicos.
#11 Yo también odio cuando culpan a las apps de fallos en los servidores...
Otro eksito del PSPV-Compromís
#12 Sí, seguramente PSPV o Compromís hayan dicho "informático de turno, no pongáis ningún tipo de autentificación en la API". Algunos os empeñáis a meter política en cualquier noticia, con calzador o a cañonazos.
#14 ¿Entonces para qué coño están en la Conselleria?
¿Para lavarse las manos?
¿Quién aprueba el pliego?
¿Quién revisa los puntos de cada empresa que se presenta a la adjudicación?
¿Quién firma la recepción y el ok del producto?

¿La herencia recibida?
#14 deja al astrosurfer este en paz... don't feed the troll
"el software se ha concebido así directamente porque no ha sido desarrollado por profesionales cualificados"

A ver si ahora se toman más en serio que no cualquiera puede realizar una aplicación informática de calidad.
#13 De la noticia: "al ofrecer 49.750 euros"

No he usado la app, pero es un precio algo ajustado si es solo las apps y ridiculo si es todo el sistema (front y back). De todas formas, no parece que sea responsabilidad de la empresa que hizo las apps (Proconsi) si el "fallo" es que el backend no tenga autorización.
Y más denuncias tendría que haber en proyectos it.

Ves en todas partes a jefes que no tienen npi del trabajo que supervisan y gente que ni recibe formación ni salario acorde a su responsabilidad.
Eso les pasa por no tener a Santiago Abascal en la agencia de protección de datos, estarían mejor protegidos.
Que pena.Se le ve superviolento al tal Santiago, no así a Pablo Iglesias.

menéame