Dudas sobre la seguridad de la plataforma BiciMad
Los usuarios de la nueva plataforma de bicicleta pública de Madrid tienen tres formas de acceder a su cuenta: con su tarjeta en las estaciones de aparcamiento de bicis, a través de la web y con una aplicación para el movil -disponible para iPhone y Android- a través de la cual se pueden comprobar la disponibilidad de bicicletas o reservar aparcamientos. Hay fuentes que aseguran que esta última tiene un fallo de seguridad que afecta a la privacidad de los usuarios.
El primero en soltar la liebre ha sido un blogger asociacio a Citybikes -una red de intercambio de bicis- que ha realizado una “auditoría de seguridad” a la plataforma. Su investivación, que incluye la decompilación de la aplicación y un poco de cirugía- ha revelado no una sino varias vulnerabilidades, con acceso a datos y funciones que deberían estar fuertemente cifrados y no lo están. Esta mañana, la Ser ha recogido la noticia para sugerir que cualquiera que tenga el número de DNI puede usar el dato como identificación de usuario y contraseña para acceder a la cuenta personal de otro, incluyendo nombre completo, número de teléfono y dirección. Siendo cualquiera “el informático”, claro está.
De momento no se puede comprobar ni desmentir la vulnerabilidad porque resulta imposible acceder a la plataforma para móviles: incluso usando el mismo DNI y contraseña que funcionan en la página web, el servidor ofrece un persistente mensaje de error. Ayer, sin embargo, era una de las pocas cosas que funcionaban del proyecto. Dos días después del estreno -que ya llegaba dos meses tarde- la mayor parte de las estaciones estaban fuera de combate, para la frustración de los usuarios que no podían recoger su tarjeta, ni sacar su bici.
En Bonopar, la empresa responsable de la plataforma, han negado que hayan sufrido ataques de ningún tipo. “Nuestra base de datos es segura. No ha habido ningún acceso a la base de datos de los datos personales de clientes y tampoco hemos registrado ningún ataque -explicaba su director Miguel Vital a La Ser. -No obstante ya hemos separado los servidores, hemos actualizado la aplicación móvil.”
“Lo que sí ha podido pasar -ofrece Vital- es que ”algunas máquinas simuladoras de consultas que lo que pretenden es dar la misma información que BiciMAD y que se conectan continuamente a nuestro servidor“.