FGV denuncia al usuario que advirtió del agujero de seguridad en la 'app' de Metrovalencia

Archivado
https://valenciaplaza.com/fgv-denuncia- ... rovalencia



Ferrocarrils de la Generalitat Valenciana (FGV) ha presentado una denuncia contra el ingeniero informático que advirtió el pasado mes de diciembre de la existencia de un agujero de seguridad en las apps de Metrovalencia y TRAM. Así lo ha confirmado la empresa pública de transporte a Valencia Plaza, una decisión tomada al entender que actuó de "manera ilegal" y que podría haber cometido un delito informático en el proceso de demostrar que la app del servicio de transporte público dejaba datos de 6.000 usuarios al alcance de terceros.

El juzgado de Instrucción número 6 de València ha abierto diligencias previas, en una causa que se habría unido con la denuncia interpuesta por el propio ingeniero contra FGV, quien presentó una auditoría de la cuestión además de informar a la Agencia Española de Protección de Datos (AEPD). Mientras, la empresa que ganó el concurso convocado por FGV por 49.750 euros y que desarrolló las apps con vulnerabilidades, Proconsi SL, también se ha reservado la posibilidad de denunciar al informático.

Sin embargo, FGV ha decidido no denunciar a la compañía leonesa que creó la aplicación, a pesar de haber reconocido ante la Agencia de Protección de Datos la existencia de vulnerabilidades en su confección y que dieron pie a la denuncia del ingeniero valenciano. Estas vulnerabilidades permitían, a través de un sencillo programa informático, acceder a datos como la dirección de correo electrónico, NIF, nombre completo, sexo, fecha de nacimiento, dirección postal completa, número de teléfono o conocer los movimientos en transporte público de estos usuarios.

Un 'token' mal usado, la causa de la brecha
Tal y como reconoce FGV en un documento, emitido a instancias de la Agencia de Protección de Datos y al que ha podido acceder Valencia Plaza, "la causa que originó la citada brecha se debió a que en el código fuente, generado por la mercantil Proconsi SL, existía un token o identificador de autenticación único para todos los usuarios de Ferrocarrils de la Generalitat Valenciana". Eso sí, FGV insiste en que para poder acceder a la "clave de autenticación secreta", incluida en el código fuente de la aplicación, es necesaria la utilización de herramientas y técnicas de ingeniería inversa, situación a la que se acoge para denunciar al informático.


"Una vez detectada la incidencia, y como medida preventiva, por la entidad pública mencionada se cierran los accesos al área de cliente de las apps y de la web de FGV", reconocen. "Al mismo tiempo se da traslado del incidente a Proconsi para que procede a su solución con carácter urgente y es informado, igualmente, el delegado de protección de datos de la Generalitat Valenciana".

Lo que es evidente es que existía un problema de seguridad, pero en el momento de la incidencia desde la compañía no se reconoció públicamente la situación.

En su denuncia, el informático aportaba, por ejemplo, datos de los movimientos extraídos de la aplicación de una persona elegida al azar, residente en un municipio de La Ribera, que todos los días cogía el metro a la misma hora para trasladarse a su trabajo en el centro de València –su dirección de correo electrónico revelaba dónde trabaja–, y que por la tarde regresaba a su pueblo desde la misma estación, la de Plaza de España.

El usuario ya advirtió por redes sociales
No era la primera vez que el denunciante alertaba del problema, y es que ya advirtió a FGV a través de redes sociales de un fallo de seguridad en la app en cuanto se lanzó, según confirmaron fuentes de la propia compañía, quienes aseguraron que se modificó el software para subsanarlo. Sin embargo, tras actualizarse la app para incorporar los horarios, este informático realizó otra comprobación y vio que podía acceder de nuevo a los datos personales.

Después de no reconocer que existía un problema de seguridad y de desactivar el perfil de usuario de app y web, el pasado 20 de diciembre Proconsi modificó el sistema de autenticación, que dejó de ser un token fijo para pasar a ser un hash variable almacenado en la memoria del dispositivo del propio usuario y que es válido hasta el momento en el que cierre la aplicación, generando una nueva clave para cada sesión. Por último se llevó a cabo "una auditoría de seguridad de la aplicación para detectar otras vulnerabilidades y su posterior corrección", añade la empresa pública.


Eso sí...pedir responsabilidades a la subcontrata...ya tal.
Se han coronado los de FGV.

En otro sitio la desarrolladora habria contratado al informatico, pues dió con una brecha de seguridad que sus propios informaticos no detectaron.

Aqui les salva el puto culo a FGV y a la desarrolladora y a cambio le meten una denuncia.

¿Que puta logica es esa?
El "fallo" de seguridad, es una dejadez absoluta. El mismo token en todas las peticiones nunca es un fallo.
Madre mía, ¿creéis que es posible que un juez de instrucción sea capaz de comprender la diferencia entre cracker y hacker? Porque en mi opinión tiene una relevancia penal absoluta.


Complicado, teniendo en cuenta que a no pocas de las brillantes mentes de la ciberseguridad en España se les llena la boca hablando de "hacking ético". A dios pido que alguien entienda este mensaje. Y que ayude a ese pobre hombre.
en otros países hasta alabarían y le darían pasta al que ha encontrado el fallo aquí como ha destapado las vergüenzas pues a denunciarles, a ver si llega ya un partido al gobierno que sepa de temas tecnológicos y empiece a hacer las cosas bien.

Me parece a mi que las empresas tecnológicas usan el sistema de seguridad ojos que no ven corazón que no siente
O sea, que la Ley de protección de datos no sirve de nada?

Independientemente de lo absurdo que me parezca que denuncien al que les advierte, que a la vez archiven la parte que les toca a ellos ya es para cerrar el chiste.
La filosofía que se aplica aquí es simple: si un usuario detecta un problema, el problema es el usuario.

De todos modos, aún sin conocer el asunto más que por la prensa, no le auguro mucho recorrido a esa "denuncia".

Así nos va.
Que denuncies los usuarios por comprometer sus datos la propia empresa. Lo comido por lo servido xDD
En EEUU le habrían pagado por la ayuda.
En la justicia de éste país todo pasa al revés.
Hadesillo escribió:En la justicia de éste país todo pasa al revés.

Las denuncias no son justicia, ni en este país ni en el que elijas. Que manía de dar por hecho fallos judiciales con una simple denuncia sin saber siquiera el cuerpo de la denuncia para criticar. Claro que la respuesta será que "en este país lo extraño es que no acabe este en la cárcel en vez de los politicos/banqueros/empresarios..." Son coletillas propias de "este país" :-|
Habrá que concretar más: si se estuviese actuando contra la empresa (hehehe) por dejar datos de los usuarios a la intemperie no estaríamos viendo éste circo donde todo está del revés.
Hadesillo escribió:En la justicia de éste país todo pasa al revés.


Parece que en magistratura entran todos los tarados. En mi city acaban de expulsar a una juez porque no hacía otra cosa que abrir casos anticorrupción pero nunca los cerraba y unos cuantos chorizos se fueron de rositas (era un proyecto de juez estrella). Era capaz de llenar miles de folios sobre un bedel que había aceptado un jamón y claro así estaban los juzgados paralizados y llenos de papeles hasta la bandera.

Es lo que tenemos, un grupo de porculero que no resuelven nada.
12 respuestas
Archivado
Volver a Miscelánea