Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Graves errores de seguridad obligan a suspender la web de T-Mobilitat de Barcelona


Un error en la web de la T-mobilitat ha dejado al descubierto los datos de las personas registradas en la plataforma. Según ha confirmado la Autoritat del Transport Metropolità (ATM) se ha tratado de un “error operativo” en la página web, que todavía está en fase de pruebas. Pese a que afirman que el acceso fue a “datos no sensibles” y durante un tiempo limitado, la ATM abrirá un expediente a la empresa responsable.



  • La Autoritat del Transporte Metropolitano abre un expediente a la empresa que desarrolla la tarjeta recargable para el transporte público
Un fallo de seguridad en la web que daba acceso al registro de la T-Mobilitat, la tarjeta con la que la Autoridad del Transporte Metropolitano (ATM) quiere modificar la forma de pagar y acceder al transporte público, ha obligado a suspender la prueba que había puesto en marcha tan solo un día antes el consorcio público. Después de que un usuario detectara que el sistema permitía dejar al descubierto los nombres y apellidos de 2.000 usuarios, el consorcio público ha decidido frenar de golpe el registro a la espera de que la Agencia de Ciberseguridad descarte cualquier otra vulnerabilidad.

La persona que ha denunciado en un hilo de Twitter la negligencia es el bosnio Edin Kapi’c, especialista en webs. Los tuits explicaban los problemas para acceder al portal, la falta de CAPTCHA (que permite diferenciar un robot de una persona) y cómo pudo entrar como administrador con el "usuario más cutre". A partir de aquí, Kapi’c hubiera podido modificar todo el contenido web, además de añadir o eliminar perfiles. Posteriormente, el mismo usuario de Twitter confirmó que los responsables ya habían modificado las contraseñas. 


El de la T-Mobilitat es un trayecto espinoso. Después de seis años de retrasos, todos los usuarios del transporte público del área metropolitana de Barcelona podían pedir a partir de esta semana la nueva tarjeta recargable para pagar los trayectos, que también funciona a través de una app. Sin embargo, la ATM ha reconocido un fallo de seguridad que ha expuesto “durante un tiempo limitado el acceso a datos no sensibles”. El ingeniero de ‘software’ Edin Kapić, residente en Barcelona, se dio cuenta del error y publicó en su Twitter cómo tuvo acceso a los datos de usuarios. Según explica, el agujero de seguridad también le permitía eliminar cuentas.



“El error ha sido corregido enseguida y la ATM abrirá un expediente informativo a la empresa responsable de este desarrollo web”, ha publicado inicialmente la cuenta oficial de T-Mobilitat en Twitter, que se estrenó el lunes como canal informativo de la nueva plataforma, antes de suspender las pruebas. Desde el Ayuntamiento de Barcelona, la concejal de Movilidad, Laia Bonet ha afirmado que en el consistorio están “preocupados”. “Es un proyecto imprescindible, que llevamos demasiado tiempo esperando, no nos podemos permitir pasos atrás ni ningún parón. Entendemos que la ATM debe velar porque sea así y así se lo hemos comunicado”, ha lamentado.



La compañía responsable del proyecto, Socmobilitat (integrada por CaixaBank, Fujitsu, Indra y Moventia) ya fue penalizada en enero de 2020 con 14 millones por los sucesivos retrasos en la materialización de la tarjeta de plástico digitalizada que sustituirá en Cataluña los títulos de transporte público de papel. Socmobilitat ha declinado este miércoles hacer declaraciones sobre el fallo, que la Autoridad Catalana de Protección de Datos está analizando “a raíz de las denuncias recibidas” a la espera de una investigación en profundidad.

Kapić no hackeó el sistema. Se dio de alta para pedir la tarjeta y luego, con su mujer, siguieron el mismo proceso para pedir una para ella. Tras ver que no podía identificarse después de crear la segunda cuenta hizo unos cambios en la URL y se dio cuenta de que podía acceder a la parte de administración de la web, “que debería estar accesible solo desde la red de TMB”. Probó el usuario ‘test’, con la misma contraseña, combinación habitual que utilizan los programadores, explica. Pudo entrar como administrador. “Esta web no habría pasado el control de calidad de una empresa medianamente seria”, opina el ingeniero del software, que trabaja en proyectos web similares. “No encontré mi nombre y apellidos, pero la lista era de gente real, busqué algunos perfiles en LinkedIn y eran personas que no trabajaban en TMB ni en ninguna consultora próxima al proyecto”, asegura

Fuente:

https://elpais.com/espana/catalunya/2021-10-06/la-t-mobilitat-se-estrena-en-barcelona-con-un-fallo-de-seguridad-que-expone-datos-personales.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.