FGV denuncia l’usuari que va advertir sobre la fallada seguretat de les app
L’empresa assegura que la privacitat dels usuaris no corre cap perill.
Ferrocarrils de la Generalitat (FGV) ha presentat una denúncia contra l’enginyer informàtic que va anunciar que l’aplicació de Metrovalència i el Tram d’Alacant tenia un forat de seguretat i deixava al descobert dades de més de 6.000 usuaris. Entre aquestes, l’adreça de correu electrònic, el DNI, la data de naixement i un telèfon de contacte. L'empresa pública de transport afirma que l’informàtic va actuar de manera il.legal. També ha anunciat que l’aplicació ja ha sigut actualitzada i que les dades dels usuaris estan completament protegides.
Des que van entrar en funcionament en març de 2018, les aplicacions de FGV Metrovalència i TRAM han despertat el malestar entre els usuaris, tal i com es pot veure a les pàgines d’Android i IOS. Especialment a partir de desembre de 2018, moment en el qual una actualització del sistema va comportar el mal funcionament generalitzat de l’aplicació.
Auditoria de seguretat
L'auditoria sobre la seguretat de les aplicacions de FGV realitzada per l'informàtic, a la qual ha tingut accés À Punt Notícies, explica que va detectar l’absència d’un procés d’autenticació dels usuaris de l’aplicació, la qual cosa significa que “les dades personals de milers d’usuaris són accessibles per tot el món”. També s’indica que “no es tracta d’una errada de seguretat; sinó que el software s’ha concebut així directament perquè no ha sigut desenvolupat per professionals qualificats”.
Feta l’auditoria, l’usuari va presentar una denúncia al jutjat d’instrucció de València, va formular una reclamació a l’Agència Espanyola de Protecció de Dades i va intentar posar-se en contacte amb la Generalitat per a solucionar el problema. Paral·lelament, va informar als mitjans de i a partir d’aquí el Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV) va rebre l’avís i va tallar l’accés de l’aplicació a internet per evitar així que tercers accediren a les dades dels usuaris.
En fer-se pública aquesta informació sobre els problems de seguretat, FGV va llançar una nota de premsa assegurant que les aplicacions de Metrovalència i del TRAM d’Alacant disposen de mesures de seguretat per a evitar l'accés i la divulgació d'informació de caràcter personal. En aquest comunicat l’empresa de transport assegura que l’única manera d’accedir a les dades personals és mitjançant “eines d’enginyeria inversa, el que en llenguatge comú es coneix com hacking”.
A preguntes d'À Punt NTC, l’informàtic respon que la nota contradiu les declaracions que el director general de Tecnologies de la Informació de la Generalitat, Pedro Pernías, va fer a À Punt Mèdia, que confirmava la fallada de seguretat de les aplicacions i explicava les mesures que s’havien aplicat per solucionar-la.
Avís policial
Dos mesos després d’aquests fets, en febrer de 2019, l’informàtic va rebre un avís de la Unitat de Delictes Tecnològics de la Prefectura Superior de Policia Nacional de la Comunitat Valenciana comunicant-li que FGV havia interposat una denúncia contra ell i citant-lo a declarar voluntàriament en qualitat de testimoni. En declaracions a À Punt Mèdia, l’informàtic ha assegurat que la principal preocupació no és que detectara l’error de seguretat, sinó el fet d’haver-ne fet difusió als mitjans de comunicació.
FGV ha confirmat a À Punt Mèdia que ha interposat una denúncia i ha assegurat que tots els problemes pel que fa a la privacitat de les dades dels usuaris ja han estat solucionades. Pel que fa a l’empresa que gestiona l’aplicació, la lleonesa Proconsi, no s'ha pogut obtindre una resposta fins el moment.
Resposta de l’Associació Valenciana pel Transport Públic
Quant a aquesta demanda, l'Associació Valenciana pel Transport Públic (AVPTP), contesta que l’usuari que va descobrir el forat de seguretat “disposa de tot el nostre suport”. També afegeix que “si no fora per la seua auditoria, ara mateix continuarien exposades a tot el món a través d’internet les dades personals dels milers d'usuaris de l'aplicació oficial del metro i tramvia, que podrien ser usurpades i utilitzades per a fins fraudulents per qualsevol persona”. L’AVPTP critica l’actitud de FGV i considera que “es tracta d'una acció intimidatòria, un avís a navegants dirigit a evitar que la ciutadania fiscalitze el servei que presten, amb l'amenaça de prendre mesures legals, cosa totalment reprovable”. Per aquest motiu, demanen el reconeixent públic de l’error comés, el cessament de la persecució a l’usuari que va descobrir l’exposició de les dades i que es demane disculpes als usuaris afectats.