Las app móviles de MetroValencia y el TRAM han expuesto los datos de sus usuarios

Miles de valencianos de la apps de MetroValencia tienen sus datos personales potencialmente expuestos. Los datos filtrados no incluyen las tarjetas de crédito de los usuarios.

Un hacker ha contactado con Alicante Plaza tras descubrir una severa vulnerabilidad en la app del transporte público valenciano. Gracias a ella, ha podido acceder a los datos de sesenta mil usuarios de las aplicaciones simplemente usando Postman.

Dado que el hacker no tiene malas intenciones, no ha podido comprobar si se podrían hacer pagos con esos datos de MetroValencia. Pero sospecha que sí sería posible vista esta vulnerabilidad dado que incluyen la fecha de caducidad y marca de las tarjetas bancarias. Este agujero de seguridad en una app de servicio público permite leer y modificar el correo electrónico, el NIF, el nombre, el sexo, la fecha de nacimiento, la dirección postal y el número de teléfono de la base de datos.

Ya se ha presentado una denuncia y un comunicado a la Agencia Española de Protección de datos

También se pueden rastrear los viajes que han hecho con su tarjeta transporte, un grave problema de privacidad. El hacker también cree que gracias a esto, un usuario podría recargar diez euros en una tarjeta habiendo pagado un céntimo.

Este agujero de seguridad es por la API pública en Internet que carece de autenticación y no asegura la seguridad de los datos de los usuarios. El hacker califica este agujero de seguridad como algo concebido por profesionales no cualificados. Ha aconsejado que desactiven todos los servicios hasta que logren asegurar los datos y una nueva versión que cumpla los requisitos de seguridad.

Esperamos que los responsables de dejar el agujero de seguridad en MetroValencia hagan algún tipo de actualización de seguridad, pues se está tratando con información muy sensible de usuarios que revela datos cruciales de la vida de las personas que han visto filtrados sus datos.

Fuente: Alicante Plaza