Agujero en la 'app' de Metro de Valencia: al descubierto los datos de 60.000 usuarios

Grave agujero de seguridad en la aplicación de metro y tranvía de la Generalitat Valencia. Según se acaba de desvelar, la aplicación para móvil de dichos servicios, Metrovalencia, ha dejado al descubierto los datos personales de unos 60.000 usuarios. Entre la información expuesta está la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, el número de teléfono y todos los viajes realizados por sus usuarios.

Según publica el medio valenciano 'ValenciaPlaza', el fallo lo ha descubierto un ingeniero que decidió denunciar en un juzgado de la ciudad a Ferrocarrils de la Generalitat Valenciana (FGV) y a la empresa de 'software' que realizó la 'app' (la leonesa Proconsi) por presunta violación del derecho a la protección de datos de carácter personal. En dicha denuncia, el ingeniero incluye una auditoría del problema y explica las razones del fallo, que se hallan principalmente en un error garrafal en la API pública del programa.

TE PUEDE INTERESAR

Bancos bajo ataque: "La ciberseguridad de las entidades es un festival del humor"

Mercè Molist

Por lo contado en la demanda, la API del servicio que está pública en la red, no cuenta con ningún tipo de autenticación. Es decir, no pone barrera alguna a quienes piden los datos ahí almacenados, por lo que cualquier usuario que lo desee puede hacerse con la información con una simple petición al servidor. "Valencia Plaza pudo comprobar este miércoles cómo el ingeniero, que pide mantener su anonimato, accedía de forma aparentemente sencilla a través del programa Postman a todos los datos de los usuarios registrados excepto al número de tarjeta de crédito, que sospecha que también se podría conseguir si tratara de realizar un pago aunque no lo ha probado para no incurrir en un delito", explican desde este periódico regional.

Pero no solo los datos personales quedaron al descubierto, sino que, según el experto, el fallo también muestra todos los movimientos de los viajeros con detalles como la fecha y la hora, las paradas y hasta las tarjetas que utiliza para pagar los viajes con su fecha de caducidad y la marca de las mismas. Según la denuncia, un 'hacker' podría tomar el control absoluto de la cuenta de cualquiera de los usuarios cambiándole la contraseña, eliminando o añadiendo tarjetas bancarias, devolviendo pagos... Y todo sin ningún tipo de barrera.

¿Qué hacer?

Si eres usuario de este programa, el denunciante recomienda desactivar directamente la aplicación borrando todos los datos de dicho servicio hasta que se anuncie algún tipo de solución. Además, ha denunciado los hechos ante la Agencia española de protección de datos (AEPD) y exige que se castiguen duramente estas prácticas.

Por su parte, Ferrocarrils de la Generalitat Valenciana asegura no tener constancia ni del fallo ni de la denuncia y solo reconoce que hubo algún fallo cuando se lanzó la 'app' que quedo corregido tras las advertencias de los usuarios. De momento, no han anunciado ningún tipo de acción en relación a lo publicado y la aplicación sigue en funcionamiento.