La nova web de la T-Mobilitat deixa al descobert milers de dades dels usuaris
L'ATM tanca la pàgina web 24 hores després d'admetre l'errada i assegurar que ha corregit el forat de seguretat
BarcelonaNou entrebanc en la posada en marxa de la T-Mobilitat. L'eufòria pel llançament, dilluns, de la nova web que permet registrar-se i adquirir el nou bitllet de transport en proves ha durat menys de 48 hores. L'Autoritat del Transport Metropolità (ATM) ha hagut de corregir a correcuita un greu forat de seguretat que ha deixat al descobert –des de l'inici– les dades personals de milers d'usuaris que s'han registrat a la web per demanar la nova targeta de transport. L’error fins i tot ha dut l’ATM a tancar la pàgina per “tasques de manteniment” 24 hores després d'assegurar que ja havia corregit el forat.
Qui ha denunciat els errors de seguretat és un informàtic bosnià resident a Barcelona, Edin Kapic, que dimarts va fer públic, a través d'un fil a Twitter, el que havia descobert. "Vaig entrar simplement a registrar-m'hi, sense cap intenció de fer-los una auditoria", explica Kapic a l'ARA. Malgrat això, el seu curt periple per la web i els seus coneixements d'informàtica el van portar a descobrir aquest greu error de seguretat. "Quan la meva dona es va voler registrar donava un error que la redirigia constantment a la pàgina d'inici, i com a enginyer informàtic primer vaig fer els passos típics, esborrar les galetes i reiniciar la web, però com que no funcionava em vaig posar a mirar què passava". Kapic va descobrir errors greus "molt bàsics": "A la barra d'adreça hi havia un senyal que indica que es pot entrar al sistema en producció, és a dir, que es pot entrar a l'interior del disseny de la web", afegeix. "Vaig pensar: «No pot ser que s'hagin deixat aquest usuari de prova obert», perquè és una de les primeres coses que s'han de tancar quan una web es dona per acabada i es posa a disposició del públic. Però efectivament, estava obert", explica.
Així, aquest informàtic va poder accedir a la web com si en fos l'administrador. "No vaig haver de fer gran cosa, perquè vaig provar d'entrar amb el típic usuari que creem tots els informàtics quan fem proves: «Usuari: test. Contrasenya: test»". Un cop dins de la pàgina, Kapic va veure que podia accedir gairebé a tot: "Podria haver canviat tota la web, haver-la redirigit a un altre lloc i també haver accedit a tots els usuaris, que en aquell moment eren més de 2.000 persones reals, perquè ho vaig comprovar", explica sorprès. Per a Kapic, aquest és un error de seguretat greu: "Quan vaig veure el llistat amb noms, cognoms, noms d'usuaris i tot vaig deixar de mirar i vaig posar-me a fer el tuit per avisar a l'ATM".
L’ATM va admetre l’error i de seguida va intentar tancar el forat de seguretat. El perfil de Twitter de la T-Mobilitat va reconèixer ahir al vespre que l’errada havia deixat al descobert informació dels usuaris “durant un temps limitat”, afirmant que eren “dades no sensibles”. Tot i això, aquest vespre el mateix perfil ha anunciat que l’accés a la web ha quedat “suspès temporalment” per fer, amb l’Agència de Ciberseguretat, “una anàlisi exhaustiva per descartar qualsevol altra vulnerabilitat no detectada”. L’ATM, que recorda que l’error s’ha produït durant la fase de proves, assegura que obrirà un expedient informatiu a l’empresa responsable, però no en va voler donar el nom.
El contracte de la T-Mobilitat es va signar el 2014 amb una UTE, una unió temporal d'empreses, anomenada SOC Mobilitat i que està formada bàsicament per Indra, La Caixa, Moventia i Fujitsu. Així, l'expedient informatiu de l'ATM s'ha dirigit, doncs, a SOC Mobilitat, però tot fa pensar als experts consultats que el desenvolupament de la web i l'aplicació l'hauria pogut fer, finalment, una altra empresa subcontractada més petita. "El codi font amb què s'ha fet aquesta web és un nyap", assegura, en canvi, Kapic a aquest diari, i afegeix: "Sembla fet per una empresa subcontractada, d'una subcontractada, d'una altra subcontractada, o per una persona que acaba de començar i que, a més, no ha passat per la supervisió de ningú. Això passa sovint al sector: les empreses grans encarreguen el desenvolupament a altres de més petites per abaratir costos", assegura aquest informàtic expert en programació. Per la seva banda, SOC Mobilitat tampoc ha volgut donar detalls a l'ARA ni sobre el problema de seguretat a la web ni tampoc sobre l'empresa que l'ha desenvolupada.
L'expert en seguretat informàtica i cap d'operacions d'Andubay, José Nicolás Castellano, considera que l'errada és "molt greu", sobretot venint d'una administració pública. "Aquests organismes tenen l'obligació de donar pautes i plecs de condicions per desenvolupar el programari a les empreses que contracten", explica Castellano. "Les mesures de seguretat han d'estar incloses entre aquestes pautes –afegeix–, per tant, l'administració ho hauria d'haver supervisat com a entitat pública". Per a aquest expert en seguretat, el forat que va quedar al descobert ahir a la web de la T-Mobilitat és fruit d'una cadena d'errors. "Quan es desenvolupa una web o una aplicació, es fan proves de qualitat, de funcionalitat per detectar errors i, finalment, proves de seguretat per garantir que ningú pot fer un mal ús de la pàgina intencionadament. Sembla que aquí totes aquestes proves han fallat", reflexiona. "Es tracta de proves molt bàsiques abans de llançar la web als usuaris –continua– i pel que sembla o no estaven previstes o clarament es van fer molt malament", sentencia Castellano.
L'enèsim entrebanc
La posada en marxa de la T-Mobilitat ha sigut una veritable cursa d'obstacles des que va començar el projecte. El nou títol per al transport metropolità s'havia d'engegar inicialment la tardor del 2015, però des d'aleshores ha acumulat nombrosos impediments i retards que no han permès que aquest tipus de bitllet –que ja s'utilitza en moltes ciutats europees– estigui disponible. El sistema pretén utilitzar una sola targeta recarregable (que pot ser física o virtual a través del pagament amb el mòbil) i que l'usuari pagui només pels viatges i la distància recorreguda. Durant diversos anys, les empreses i la Generalitat es culpaven mútuament del retard, després el projecte va quedar-se aturat el 2017 i el 2018 aquests retards ja havien acumulat un sobrecost de 24 milions d'euros, un desviament que suposava un 41% més del cost previst d’entrada. L'any passat el confinament i la crisi sanitària derivada del coronavirus van deixar en suspens les proves, que al final van començar aquest estiu. Ara que les proves s'obrien a tota la ciutadania l'errada tècnica a la web torna a posar sobre la taula el debat sobre la protecció de les dades personals i de desplaçament que aniran associades a aquesta targeta, que fa anys que s'anuncia com "la gran revolució" en el sector del transport a Catalunya.