Un usuari de la nova pàgina web de la T-Mobilitat ha denunciat a Twitter que ha detectat errors greus de seguretat en la pàgina i que, fins i tot, ha tingut accés a les dades personals dels usuaris que s’hi han registrat. La T-Mobilitat està en període de proves i des d’aquest dilluns es conviden els usuaris de transport públic a registrar-se al web per aconseguir la targeta i poder viatjar a meitat de preu.

Les dades dels usuaris, al descobert

Qui ha denunciat els errors de seguretat és Edin Kapi´c, un enginyer informàtic de Barcelona especialista en pàgines web similars obertes al públic. En un fil a Twitter explica com es va registrar al web de la T-Mobilitat per obtenir la targeta. Un cop a dins, va detectar errors greus de seguretat a la pàgina. Per exemple, que no hi havia CAPTCHA, el test que permet discernir si l’usuari és una màquina o un humà.

Tampoc no hi havia res que limités els inicis de sessió o “login”, és a dir, l’accés individual al sistema. Ell va poder entrar sense cap dificultat al web com a administrador fent servir l’usuari i la contrasenya “admin”, que s’estableixen per defecte. Això vol dir que, un cop dins, no només hauria pogut canviar tot el contingut del web sinó que també va tenir accés a les dades d’usuaris que s’hi havien registrat, uns 2.000.

Anem a provar l'usuari més "cutre" en el món de software. De primer de pentesting.

Hi entra. I com a Administrador. 😮 pic.twitter.com/dzc8gFxolp
— Edin Kapić / Един Капић (@ekapic) October 5, 2021

Kapi´c va comprovar les dades dels usuaris a Linkedin i va veure que eren persones reals, no perfils de prova. “Nosaltres fem projectes semblants i això podria passar en un entorn de treball local però és impossible que passi en un entorn de proves real o obert al públic”, ha assegurat a betevé.

L’ATM corregeix l’errada de seguretat

Unes hores més tard d’aquesta denúncia, l’ATM ha corregit l’error de seguretat del web de la T-Mobilitat. L’Autoritat del Transport Metropolità reconeix en un tuit que ha detectat un “error operatiu” al web que “ha permès durant un temps limitat l’accés a dades no sensibles”. Assegura que el problema “ha estat corregit de seguida”. L’ATM també anuncia que obrirà un expedient informatiu a l’empresa responsable d’aquest desenvolupament web.

Hem detectat un error operatiu al web de la T-mobilitat, en etapa de proves. L'errada ha permès durant temps limitat l’accés a dades no sensibles.

L’error ha estat corregit de seguida i l’ATM obrirà un expedient informatiu a l'empresa responsable d'aquest desenvolupament web.
— T-mobilitat (@T_mobilitat) October 5, 2021

Preocupació de l’Ajuntament pels errors

La tinenta d’alcalde i regidora de Mobilitat, Laia Bonet, ha dit que “estem preocupats”, en referència als errors de seguretat de la T-Mobilitat. Bonet ha assenyalat que “la T-Mobilitat és un projecte imprescindible i cabdal que fa massa temps que esperem”.

Bonet ha reiterat que “no ens podem permetre cap pas enrere ni cap aturada”. En aquest sentit, ha remarcat que “l’ATM ha de vetllar perquè això sigui així” i ha afegit que “així ho hem fet arribar” a aquest organisme.

en directe

originals betevé

programació

Cinema

seccions

Agenda de Barcelona

ciència i tecnologia

cultura

economia

el temps a Barcelona

esports

estils de vida

història

medi ambient

sostenibilitat

mobilitat

nens i nenes

política

societat

participa

districtes i barris

Ciutat Vella

Eixample

Sants-Montjuïc

Les Corts

Sarrià - Sant Gervasi

Gràcia

Horta-Guinardó

Nou Barris

Sant Andreu

Sant Martí

inicia sessió

segueix-nos

descarrega't l'app