Estas cosas pasan en las mejores casas.
Pero ardo en deseos de ver la excusas, porque ahora se supone que ya no es una empresa privada malvada, ni la gestiona Ana Botella.

mientras que no denuncien al informante del fallo como hace el ministerio de justicia, ya es un gran avance.

A mi lo que mas me sorprende del tema, es que el cualquier ministerio tenemos vigilantes jurados, detectores de metales, tarjeta de acceso hasta con foto del visitante, cámaras de vídeo, etc, etc. pero cuando hablamos de seguridad TIC siempre es un complemento que no se incluye de serie.
¿porque la seguridad física es básica y nunca se olvida y en los sistemas y aplicaciones que gestionan información y dinero del ciudadano no hay manera de que se asuma su coste y se incluya de serie como requisito en cualquier pliego?

Lo de las apps no se les da bien: la tarjeta Multi de Metro no se puede consultar cuántos viajes le quedan desde la app de iOS y sólo desde Android con NFC.

No sabía que la Empresa Municipal de Transportes se dedicara al desarrollo de software

#2 1) porque no se ve
2) porque los sobres debajo de la mesa dan menos pasta
3) por inclultura de los jefes y directores de las empresas españolas
4) por ahorrarse un dinero. Total si pasa algo va ser la multa más barata que los costes de hacer algo bien y seguro
5) cultura española: hagamos ñapas y el que venga detrás que arree.
6) consultoras que contratan a consultoras que contratan a consultoras y al final un becario mal pagado y explotado que se come el marrón sin que nadie le ayude.
....

#4 Cualquier informático que vea la UI de esta app puede sufrir un brote psicótico... www.crtm.es/atencion-al-cliente/area-de-descargas/apps/app-tiempo-real

#3 Yo me estoy resistiendo a dejar los bonos de cartón que todavía venden por la Multi, cuando desista por obligación como no tengo móvil con NFC tendré que poner un posit para apuntar con palitos cuantos viajes me quedan en cada una de las 3 tarjetas que me obligan a usar, una para los interurbanos a la capital y metrobús, otra para los urbanos y otra para ir a otro municipio, y cuando la de Cercanías también se vuelva obligatoria ya necesitaría cuatro (dos de ellas Multi pagadas a 2,5 € ya que solo envían ahora promocionalmente una por persona, y la de Renfe a 0,5 €), cuatro tarjetas (tres de ellas marcadas con rotulador para saber cual es cual) para lo mismo que en barcelona por ejemplo necesitaría dos T-10 de cartón y me incluiría trasbordos entre diferentes medios de transporte público. Cuando se enteren de que en otras ciudades cargas un saldo en la tarjeta y automáticamente te cobra menos según la cantidad de viajes que hagas... bueno igual hacen como el consejero de transportes de hace pocos años, que decía que el Metrobús no existía.

_{Y no cuento la tarjeta de Bicimad}

#5 ESto es del ayuntamiento de Carmena.

Lo del HTTPS hay un montón de tiendas online, compañías eléctricas, etc., que han empezado a usarlo cuando Firefox y Chrome han empezado a marcar como inseguras sus webs. Las APP es lo bueno (o malo para el usuario) que tienen, que no avisan de que envían tus datos de forma insegura.

Para ver cuantas bicis hay en cada estación de Bicimad se puede usar alguna APP no oficial como esta, que no envía datos personales:

fossdroid.com/a/openbikesharing.html

#2 porque esos fallos de seguridad se deben a que hay gente tirando lineas que no tiene ni guarra de lo que hace y se dedica a copiar y pegar cosas de stackoverflow. Asi de simple. ¿Vas a poner en un pliego "quiero que todos los programadores sean buenos y el analista sepa lo que hace"? Te diran que no hay analistas, que ahora hay "chief main architects" y "happiness managers" y que con scrum y tdd la calidad esta asegurada...

#8 paren las rotativas! La app de bicimad no chuta! Dimisión! Rojos! Venezuela!

Eso si, amiguito, callado como una puta con los millones que roba tu partido. Y con sus chanchullos, sobres y contratos blindados a amigotes. En el mismo ayuntamiento.

A ver si Cataluña se larga y vamos detrás nosotros, porque que cruz, joder, que cruz.....

#1

Ni verás : "La que está chapuceando Carmena".

#3 Eso es debido a que iOS no lo permite, no a que no sepan hacerlo los desarrolladores. Es posible que a partir de iOS 11 se pueda.
La culpa a quién la tiene, en este caso Apple.

#3 Bicimad es responsabilidad del Ayuntamiento, la tarjeta multimodal de metro de la Comunidad.

Broncano, has vuelto a liarla tú?

No llevar ssl es una chapuza, pero decir "han hackeado" cuando lo que hacen es man in the middle es un poco tendencioso.

#1 habrán dejado la contraseña en un post-it y....

¿Alguien sabe si hay alguna aplicación hecha con OpenStreetMaps en la que BiciMad funcione? Estoy harto de google.

algo sensacionalista o me equivoco?

además "sólo afecta en el supuesto de que un usuario navegue en una wifi abierta" : una app de movilidad, en una wifi abierta??

#1 Correcto, no la gestiona Ana Botella. En una empresa hay que diferenciar a quién pertenece y quién gestiona. EMT pertenece al ayuntamiento de Madrid, pero la gestiona el Consorcio Regional de Transportes de Madrid, que es de la Comunidad. Y tal.

#12 Oye, sin querer defender al PP, que cojones tendrá que ver que sean unos ladrones con que el ayuntamiento saque un producto de esta mierda de calidad?

#19 en F-Droid tienes OpenBikeMap, pero solo para consultar el número de bicis en cada estación

Hombre, hay que reconocer que es una chapuza, tanto si lo hace X como si lo hace Y.

Chapuza y poco testado.

Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc.

#21 No la gestiona el consorcio, querido.

|Madrid

Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?
Y es insegura si te conectas desde un WiFi abierto. Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.

Pero bueno, a lo que vamos:
¡La que está liando Carmena!

#20 Lo cual es más común de lo que crees y con el tiempo lo será más. Cuando vas al aeropuerto o una estación de bus o tren, ¿a que esperas encontrarte una wifi abierta? O cuando vas por la calle, en algunos sitios, lo esperas. O incluso si no es abierta, si en un local te dan la contraseña wifi, te conectas. Y por toda la ciudad las wifis abiertas para dar cobertura libre. Pues una vez dentro, jauja. Puedes hacer tú mismo el experimento, ir a una estación, abrir una wifi creando un hotspot, llamale "wifi-guest" por ejemplo. Para dar más credibilidad, puedes hacerte una página de autorización para conexiones entrantes y pedir datos personales o incluso mail y contraseña... la gente te los enviará.

Pero el tema no es ese. El tema es que yo, trabajando en empresa privada, si hago una app que envía datos en claro sin https que incluyen la contraseña y el dni, estaría de patitas en la calle. Y la empresa también por no hacer el pentest recibiría una auditoría. Y ahora viene lo divertido: el dni es un dato de carácter personal, por tanto protegido por la LOPD, y por tanto un dato protegido. Que no significaría mucho si no fuese porque la Agencia de Protección de datos generó un informe con recomendaciones para asegurar esta protección, y la primera de todas era el empleo de SSL en toda comunicación que transportr un dato personal. Con lo cual hay base para demanda hacia la empresa, que al ser pública... la demanda sería una buena herramienta política. Espero que no me esté leyendo Cifuentes.

#17 Estoy de acuerdo.
Además, respecto al artículo lo que veo es que critican con dureza la aplicación de Bicimad pero con el objetivo de publicitar la de la persona que ha entrado en el sistema de Bicimad.
"aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar."

#25 Pues corre raudo a actualizar wikipedia, la web del consorcio y la web de la EMT... y las hemerotecas de periódicos del 2015 cuando cifuentes a través del consorcio cortó el grifo a la EMT. Cuando termines de actualizar todo hazme un llamacuelga.

#30 Que no la gestiona la Comunidad, coño.
Es una empresa 100% gestionada por el ayuntamiento y esta APP está creada por el ayuntamiento.
Punto y final.

#31 creerte a ti o a la web del consorcio... dura elección en un tema sobre el consorcio.

#32 Ponme la web del consorcio donde diga que el consorcio dirige la EMT y no el ayuntamiento.

#33 Primero actualiza la wikipedia. Paso de discutir con alguien que no se toma ni esa molestia. Yo al menos aporto esa prueba, tú sólo tu palabra. Y seguiría sin explicar por qué en 2015 cifu pudo tocar los cojones a emt si según tú es gestionada por ayuntamiento. Moléstate en buscar en lugar de poner negativos a la ligera, y aporta algo que no sea la palabra de un señor anónimo de internet. No me seas creacionista.

El artículo es lo más sensacionalista que he visto nunca, vale que sin ssl puedes ver lo que se envia en texto plano, pero para ello tienes que estar en la misma red que la víctima y hacer correctamente un MITM (man in the middle). No se, pensé que habrían volcado la base de datos con una inyección SQL o algo.

Aquí no veo que se haya hackeado nada y el que ha escrito el artículo debería dejar de ver Mr Robot.

#34 ¿Pero qué wikipedia ni qué niño muerto?
Tú has dicho que la web del consorcio dice que la EMT la gestiona el PP de la comunidad.

Yo seré creacionista pero tú pareces un predicador de esos de equo.

#35 No es sensacionalista, dice lo que dice, y lo que dice es verdad.
Que cualquiera en tu misma red puede ver tus datos.

#1 No veo que hayan hackeado nada

#12 Cataluña, el PP... en una noticia de Bicimad. ¡Bravo!

#38 Pues lo pone en el artículo, bastante fácil de leer.
www.cursodehackers.com/ManInTheMiddle.html

Si te quieres escudar en la semántica para defender esta cagada diciendo que MIM no es hackeo de verdad.
Po fale.

#11 ¿No se hace todo copiando y pegando de stackoverflow? Anda ya

#40 Hombre, me dedico a la seguridad, haz un MITM en una red 3G, ¿Donde han dumpeado la base de datos?, ¿Está ya en haveibeenpwned o aún no? Que potencialmente sin ssl puedas ver los datos en plano es muy diferente de "la han hackeado". Si eso es hackear (poner un wireshark) y han tardado 2 putas horas, no se quien es peor, si los de bicimad o los hackers.

En fin...

#37 Bueno, yo creo que un poco sí... no veo que haya "hackeo" en ningún sitio, no se han metido en el programa ni en los servidores. Que es poco seguro, correcto, es una chapucilla. Que todo el mundo no va con un sniffer por ahí, también es correcto.

#42 #43 Han hackeado la comunicación entre el terminar y el servidor.
Eso es hackear, te dediques a la seguridad o no, el MITM es una técnica de hackeo.
En el propio artículo dice también lo de 3G.
Pero bueno, que no pasa nada.

#44 ¿Insinúas que el ayuntamiento de Madrid compró BICIMAD diciendo que la gestión privada no era eficiente y ahora está subcontratando?

#36 Ok. Vamos allá:
Wikipedia EMT: es.wikipedia.org/wiki/Empresa_Municipal_de_Transportes_de_Madrid
Desde que se creó el Consorcio Regional de Transportes de Madrid en 1985, entidad que gestiona todos los medios de transporte público de la Comunidad de Madrid, la EMT opera bajo su autoridad. Actualmente (2011), la EMT gestiona una flota de 2.092 autobuses repartidos por 215 líneas que tienen una extensión de 3.500 kilómetros.

Wikipedia Consorcio: es.wikipedia.org/wiki/Consorcio_Regional_de_Transportes_de_Madrid
El Consorcio Regional de Transportes de Madrid es una sociedad pública dependiente de la Comunidad de Madrid que gestiona y regula todos los transportes públicos colectivos de la Comunidad y que fue fundada el 16 de diciembre de 1985.
Además incluye la EMT entre entidades gestionadas por el consorcio.

Web del Consorcio: www.crtm.es/
Verás que la EMT está incluída como parte del consorcio.

Ahora bien, al final ambos teníamos razón. Por lo que veo el Consorcio gestiona EMT para algunas cosas y otras no. Son competencias del Consorcio sobre EMT:
- Horarios
- Frecuencias
- Estaciones y paradas de interurbanos
- Tarifas, precios y sistema tarifario
- Información del viajero
- Vehículos interurbanos.

Es competencia de la EMT:
- Estaciones y paradas de urbanos
- Atención al usuario
- Vehículos urbanos

Si consideramos que la App es "atención al usuario" entonces efectivamente es competencia de EMT.

#47 Una cosa es regular y otra cosa es lo que tú decías.
La EMT depende 100% de Ayuntamiento, y lo de Bicimad también.

#37 Entonces voy a buscar todas las paginas sin ssl, voy a ir al login, abrir las herramientas de navegador y ver como en Red se envía el usuario y contraseña en texto plano de MI usuario (que es lo que se ha hecho en el artículo), y me voy a atribuir el haber "hackeado" todas y cada una de ellas ...

Si hubieran accedido al panel de usuario, o cambiasen un id y viesen otros datos como pasó con la página del ministerio aceptaría barco, por cierto se puede hacer MITM redireccionar a un proxy que quita el ssl y a menos que te fijes en que no tienes el candado en el navegador (o el navegador te avise, que no creo) también pueden ver tus contraseñas en plano .... solo que para ello tendrían que acceder a tu red.

#49 Sería una técnica de hacking.
Hackeo no significa que tenga que ser complicao.

#50 Entonces te anuncio que ya he hackeado todas las páginas de internet.

#51 Enhorabuena.

#12 Joder, y por qué no funciona, si la empresa Bicimad fue "nacionalizada" y en el ayun cuentan con el mejor informático ese, el que hacía superaplicaciones tcomo MANOLITOM el Pablo Soto.
¿Cómo les ha podido pasar?

#1 Y en las peores casas también...

#47 El Consorcio es quien, efectivamente, regula el transporte público pero las empresas, sean públicas como la EMT u otras privadas, se autogestionan así mismas en función de los servicios que el Consorcio les dice que tienen que cubrir.

#8 Una no noticia, sobre un no hackeo y todo para hacer un "titiriteros" contra el ayuntamiento ... se te veía venir a la legua

#56 A ti también se te veia el cartón, con eso de que era sensacionalista cuando no lo es.

Si a ti te parece una no noticia tirar la pasta, pues vale.

#6 y al enlazarlo estas apoyando que a los informaticos de mename nos de algo...

jodido terrorista...

#27
"Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?"

No lo creo. Pedir una API abierta es como pedir a un servidor de correo que utilice POP3/SMTP para acceder a él. Incluso si quien lo pide se dedica a desarrollar un cliente de correo cerrado no quiere decir que su petición no tenga sentido. Sobre todo cuando se trata de un servicio público. De hecho que haya una API abierta significaría que cualquiera podría desarrollar una aplicación libre para acceder al servicio.

Y es insegura si te conectas desde un WiFi abierto.

Es insegura si te conectas desde un WiFi abierto o si el atacante tiene acceso a la WiFi donde estás conectado: stackoverflow.com/questions/32237955/if-i-know-the-password-of-a-wpa2-

Esto es como guardar las contraseñas en texto plano, que "solo es inseguro el atacante consigue acceder a la base de datos". Si algo es inseguro lo es y punto. Y que un servicio supuestamente gestionado por profesionales envíe las contraseñas sin cifrar es inaceptable.

Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.

Eh... no. SSL no genera un tráfico mucho mayor: www.maxcdn.com/blog/ssl-performance-myth/

#20 En realidad que estés conectado a una red WiFI con WPA2 no te protege mucho contra la gente que está también está conectada a ella. Y esa es la razón por la que existe WPA2-Enterprise: www.howtogeek.com/204335/warning-encrypted-wpa2-wi-fi-networks-are-sti

#24 "Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc."

Pues por que utiliza HTTP en lugar de HTTPS. Lo cual es curioso por que la web oficial de BiciMad (desde donde te puedes registrar y acceder al servicio) sí que utiliza HTTPS.

#38
 

#41 entiendo que es dolorido sarcasmo...

#64 Pues si unos chapuzas pueden ver lo que se manda al servidor, me estás dando más la razón.

#66 Con cada mensaje me das más la razón.

#68 Lo entiendo bastante bien.
Gracias.

#7 Mi duda es cómo ven los revisores en la Multi si has "picado" al entrar. Porque conozco un amigo de un amigo que "pica" el billete de cartón una vez al día y se cuela el resto de veces que puede, y si le piden billete los revisores, tiene el día marcado en el cartón.
¿Es tan difícil poner un lector de tarjetas en las estaciones que te diga cuantos viajes te quedan?

#49 no hay escusa alguna para mandar información "confidencial" en texto plano. Eso es algo que solo un chapuzas haría.

#35 Por que hace falta un MitM? Con estar en la misma wifi publica?
No usar SSL es una chapuza

#70 Los revisores llevan un lector de tarjetas NFC para verlo, con los de cartón creo que solo miraban que estuviera marcado pero no sé si pone solo el día o pone también la hora (y en la banda magnética si lo pasan por un lector puede que les salgan más cosas) . En las estaciones de Metro al pasar la tarjeta por el torno fijándose en la pantallita en teoría te dice cuantos viajes quedan, pero no se pueden consultar desde la web, y en Cercanías se pueden ver cuantos viajes te quedan en la tarjeta de Renfe. El problema es que si no te fijas o no funciona la pantallita, o llevas un par de semanas sin usar el billete y no te acuerdas no sabes cuantos viajes quedan en cada bono, que son máximo de dos bonos por tarjeta y eso cuando sean de zonas diferentes porque si no la máquina no sabría si cobrarte de un bono o de otro, y aunque la TTP en teoría está preparada para cargar bonos de 10 el consorcio no permite cargarlos en esa tarjeta por el momento, por lo que a mi el cambio de cartón a plastico solo me supone pagar 5 € extra por el soporte físico y poder cargarlas a las 12 de la noche desde los cajeros de Bankia, que cargarlos desde los cajeros puede parecer una nueva ventaja pero el hecho es que es una obligación porque si tengo un metrobus y un bono de interurbanos en la misma tarjeta no puedo recargar ninguno de esos bonos hasta que uno de ellos se acabe por completo... o comprar más tarjetas de reserva a 2,5 € ud.

#28 El DNI por si solo según la LOPD solo requiere la protección más básica, el SSL es solo una recomendación, una recomendación que deberían tomarse en serio algunas tiendas online que siguen sin usar SSL para introducir los datos personales (y no hace mucho hasta las compañías telefónicas te mostraban tu historial de llamadas en una web HTTP), pero que no les van a multar por ello. Otra cosa es que en el conjunto de datos que guarda Bicimad haya datos que requieran mayor nivel de protección.

#72 Siempre necesitas un MITM, el tráfico va dirigido, si tu quieres que el tráfico de la víctima pase por ti (tu máquina) para poder snifar tienes que decirle al router que tu eres la víctima y a la víctima que tu eres el router. En wifi hay otro truco que es clonarle la mac a la víctima, en redes cableadas da un conflicto de red, pero en wifi como el router no sabe cual es el auténtico, simplemente envía a los 2.

No usar SSL es una chapuza, pero no es el fin del mundo y definitivamente no es "hackear" nada.

#71 Correcto, no estoy discutiendo tal cosa. Pero reitero, que no han hackeado nada lo que pasa es que el otro titular no vende. Simplemente el tráfico no va encriptado (venga va, cifrado) por lo que en una eventual alineación planetaria, si alguien está en tu red, te hace un man in the middle y en ese preciso instante tu app de bicimad hace el login (que es donde irán los datos más sensibles), esa persona verá tus datos. Vamos, de aquí al lunes un millón de logins robados como mínimo

#76 puedes capturar los paquetes sin hacer MitM en una conexion inalambrica insegura. Por eso es recomendable utilizar VPNs cuando usas wifis publicas.

Y si, no usar SSL cuando mandas información confidencial es el fin del mundo, al menos para la empresa que hace eso. Las multas son millonarias

#73 En los de cartón pone sólo el día, y es lo que miran los revisores. Con que esté impreso un viaje con la fecha de ese día, puedes viajar todas las veces que te dé la gana porque no hay forma de saber si picaste a las 09:21 o a las 23:54. En cualquier caso, imagino que con la multi pasará lo mismo dado que no hay una estancia máxima dentro de las instalaciones del metro. Y con que pases la tarjeta una sola vez al día, podrás colarte todas las siguientes sin picar.

#78 Si, poniendo la tarjeta en modo "promiscuo" pero vamos, ¿que % de gente vas a pillar con eso?

#79 Sí hay una estancia máxima (y con los de cartón me suena haber visto revisores con lectores magnéticos, lo que pasa es que si se junta mucha gente y no hacen cola, que no están obligados a hacer cola para salir, y hay más revisores que lectores pasarán de maquinitas):

<< Los viajeros portadores de títulos de transporte con un número limitado de viajes, tendrán el derecho a permanecer durante las tres horas siguientes a su validación en las instalaciones de la red del Ferrocarril Metropolitano. >>

www.metromadrid.es/es/viaja_en_metro/uso_y_accesibilidad/index.html

#22 nada en absoluto. Mi comentario era una crítica directa a mi interlocutor.

#81 Gracias! Es bastante conveniente saberlo y más con la implantación de la multi!

#59 Ese artículo que me enlazas me da la razón. SSL genera más tráfico al empezar la conexión por la seguridad del protocolo. Si después de todo eso se recibe una petición de datos mínima (supongo que un json de pocos caracteres), pues el tráfico generado puede ser más del doble.
Y en cuanto a la seguridad, si estás en la misma red y puedes capturar las tramas, todo el tráfico está expuesto. A ver si te crees que con ssl estás a salvo.

#64 Han detectado una vulnerabilidad en la aplicación y además la han reportado. Es un hackeo en toda regla.

Hackear no solo implica alterar un programa informático. Es un concepto más amplio (y ambiguo) de lo que indicas.

#88 Han hackeado el sistema de comunicación de la aplicación con el servidor. ¿Así mejor?

#14 iOS 11 creo que ya tiene para leer NFC pero no para escribir creo recordar. De todos modos da igual, la del abono se consulta con el código numérico que viene detrás de la tarjeta. En la tarjeta Multi tiene un código pero no permite consultarlo.

#85 Uso el voto positivo o negativo cuando estoy o no de acuerdo con algo, con todo lo que tu dices no estoy de acuerdo, ya que no solo he he hecho un MitM (twitter.com/madbikeapp/status/910910317252808704) y después de habérselo avisado a los responsables de movilidad de la EMT en público y en persona (www.youtube.com/watch?v=ShYMqHIDZJ0) y haberles ofrecido ayuda y nuestra app (gratis), creo que cometer el mismo error otra vez está muy mal hecho.

#86 ¿algún @admin que evite que @Salmonela censure mi uso del positivo y negativo?

#27 @Opinator_2.0 twitter.com/madbikeapp/status/911866652463116288

#95 @Salmonela si todo esto youtu.be/ShYMqHIDZJ0?t=19m56s solo es capturar tráfico, vuelve a donde hayas estudiado anda, que necesitas repasar un poquitín.

#98 Si de verdad crees que hacer un MitM e ingeniería inversa sobre un código ofuscado para encontrar una vulnerabilidad y reportarla públicamente no tiene nada que ver con la definición de security hack, entonces no es necesario que pierdas tus 45 minutos para concretar tu opinión, no me interesa conocerla.