Cierran una web del transporte público de Barcelona tras dejar al descubierto datos de usuarios

Primero fue un error que se había corregido “de inmediato”. Pero el fallo de seguridad detectado en la web de la T-Mobilitat, que depende de la Autoridad del Transporte Metropolitano (ATM), y que hizo aflorar datos de los usuarios, ha provocado finalmente el cierre momentáneo de la plataforma. 

“El acceso a la web t-mobilitat.cat en esta fase de pruebas ha quedado suspendido temporalmente”, comunicaron desde el propio Twitter de T-Mobilitat, que es el nuevo sistema de pago con tarjeta recargable para el transporte público y que está en fase piloto. “Hemos decidido hacer, con la Agencia de Ciberseguridad, un análisis exhaustivo para descartar cualquier otra vulnerabilidad no detectada”, añadieron. “Las pruebas siguen en marcha”.

En paralelo, la ATM ha anunciado la apertura de un expediente informativo a la empresa responsable de la página web. 

Según apuntan desde la ATM, durante el tiempo que existió este agujero de seguridad sólo una persona accedió a “datos no sensibles”. Se trata de un ciudadano que denunció el martes por la tarde en un hilo en Twitter que pudo entrar con el usuario de administrador de la página y tuvo acceso a los datos de unos 2.000 usuarios, que podría haber borrado o añadir otros nuevos, y en todo el contenido de la web.

Según explica, se dio cuenta después de registrarse correctamente y de que instantes después esta web le redireccionase repetidamente a la página principal. Posteriormente, ese mismo usuario certificó que sus responsables ya habían cambiado la contraseña.

Precisamente, la ATM anunció el lunes que ampliaría las pruebas de usabilidad de la T-Mobilitat a la ciudadanía en general y que añadía nuevos canales digitales como la web y la aplicación móvil. Se trata de una fase más de las pruebas que ya comenzaron 4.000 usuarios en junio con la verificación de la validación, tanto con la tarjeta recargable como con el teléfono móvil.