La posada en marxa de la T-Mobilitat i el seu web han deixat al descobert dades dels usuaris inscrits a la plataforma. Un usuari de Twitter ha denunciat aquest dimarts una bretxa de seguretat al web de la infraestructura que deixava a l’accés de qualsevol persona les dades de prop de 2.000 usuaris. L’Autoritat del Transport Metropolità (ATM) ha reconegut el problema i ha assegurat que es tracta d’un “error operatiu al web” i que ha permès “durant un temps limitat l’accés a dades no sensibles”. Així mateix, ha apuntat que s’obrirà un expedient informatiu a l’empresa responsable del desenvolupament de la pàgina per trobar l’origen de la bretxa de seguretat i reforçar el sistema.

L’error tècnic va ser detectat després que un usuari recent registrat a la plataforma de la T-Mobilitat detectés problemes en l’ús del web. Tal com explicava en un fil a la xarxa social el desenvolupador Edin Kapić, la pàgina el redirigia a l’inici en comptes de donar-li accés al seu espai privat d’usuari. Després d’adonar-se d’un error en l’URL i de fer-hi canvis, va poder accedir al portal d’administració i entrar-hi amb un identificador habitual com ho és ‘test’.

Anem a provar l'usuari més "cutre" en el món de software. De primer de pentesting.

Hi entra. I com a Administrador. 😮 pic.twitter.com/dzc8gFxolp

— Edin Kapić / Един Капић (@ekapic) October 5, 2021

Allà, va tenir a l’abast el nom i cognoms dels ciutadans inscrits a la fase de proves de la nova tarjeta de mobilitat, una informació que només hauria de ser accessible per l’equip del projecte, i la possibilitat d’esborrar o canviar qualsevol element. Després d’avisar l’ATM, Kapić va confirmar que l’usuari emprat per a l’accés havia estat esborrat i l’error, solucionat.

L’empresa encarregada del desenvolupament del sistema és Socmobilitat, formada per CaixaBank, Fujitsu, Indra i Moventia, la qual haurà de sotmetre’s a una investigació per la incidència.

Incidències en la fase de proves

La fase de proves de la T-Mobilitat havia ampliat el seu abast aquest dilluns amb la possibilitat que qualsevol persona s’hi pogués inscriure. A més a més, ha afegit el web i l’aplicació mòbil com a nous canals. Fins al moment, es pot adquirir una T-usual i una T-Jove a un preu reduït i amb un termini d’ús de 5 dies.

Els primers tests es van posar en marxa el passat mes de juny, coincidint amb el Mobile World Congress. Durant les primeres fases es van registrar incidències per falta de coneixement dels conductors d’autobús sobre el projecte, estacions sense validadores preparades per a l’ús de l’aplicació mòbil o dispositius que no estaven en funcionament per passar la T-Mobilitat.