La nueva versión contiene los mismos agujeros que la anterior y puede poner al descubierto datos sensibles: analizamos y comprobamos con un experto sus carencias de seguridad y cómo podrían obtener tu DNI o tus trayectos.
|
etiquetas: bicimad , hackers , madrid , piratas informáticos , apps , tecnología
Pero ardo en deseos de ver la excusas, porque ahora se supone que ya no es una empresa privada malvada, ni la gestiona Ana Botella.
A mi lo que mas me sorprende del tema, es que el cualquier ministerio tenemos vigilantes jurados, detectores de metales, tarjeta de acceso hasta con foto del visitante, cámaras de vídeo, etc, etc. pero cuando hablamos de seguridad TIC siempre es un complemento que no se incluye de serie.
¿porque la seguridad física es básica y nunca se olvida y en los sistemas y aplicaciones que gestionan información y dinero del ciudadano no hay manera de que se asuma su coste y se incluya de serie como requisito en cualquier pliego?
2) porque los sobres debajo de la mesa dan menos pasta
3) por inclultura de los jefes y directores de las empresas españolas
4) por ahorrarse un dinero. Total si pasa algo va ser la multa más barata que los costes de hacer algo bien y seguro
5) cultura española: hagamos ñapas y el que venga detrás que arree.
6) consultoras que contratan a consultoras que contratan a consultoras y al final un becario mal pagado y explotado que se come el marrón sin que nadie le ayude.
....
Y no cuento la tarjeta de Bicimad
fossdroid.com/a/openbikesharing.html
Eso si, amiguito, callado como una puta con los millones que roba tu partido. Y con sus chanchullos, sobres y contratos blindados a amigotes. En el mismo ayuntamiento.
A ver si Cataluña se larga y vamos detrás nosotros, porque que cruz, joder, que cruz.....
Ni verás : "La que está chapuceando Carmena".
La culpa a quién la tiene, en este caso Apple.
además "sólo afecta en el supuesto de que un usuario navegue en una wifi abierta" : una app de movilidad, en una wifi abierta??
Chapuza y poco testado.
Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc.
Y es insegura si te conectas desde un WiFi abierto. Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.
Pero bueno, a lo que vamos:
¡La que está liando Carmena!
Pero el tema no es ese. El tema es que yo, trabajando en empresa privada, si hago una app que envía datos en claro sin https que incluyen la contraseña y el dni, estaría de patitas en la calle. Y la empresa también por no hacer el pentest recibiría una auditoría. Y ahora viene lo divertido: el dni es un dato de carácter personal, por tanto protegido por la LOPD, y por tanto un dato protegido. Que no significaría mucho si no fuese porque la Agencia de Protección de datos generó un informe con recomendaciones para asegurar esta protección, y la primera de todas era el empleo de SSL en toda comunicación que transportr un dato personal. Con lo cual hay base para demanda hacia la empresa, que al ser pública... la demanda sería una buena herramienta política. Espero que no me esté leyendo Cifuentes.
Además, respecto al artículo lo que veo es que critican con dureza la aplicación de Bicimad pero con el objetivo de publicitar la de la persona que ha entrado en el sistema de Bicimad.
"aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar."
Es una empresa 100% gestionada por el ayuntamiento y esta APP está creada por el ayuntamiento.
Punto y final.
Aquí no veo que se haya hackeado nada y el que ha escrito el artículo debería dejar de ver Mr Robot.
Tú has dicho que la web del consorcio dice que la EMT la gestiona el PP de la comunidad.
Yo seré creacionista pero tú pareces un predicador de esos de equo.
Que cualquiera en tu misma red puede ver tus datos.
www.cursodehackers.com/ManInTheMiddle.html
Si te quieres escudar en la semántica para defender esta cagada diciendo que MIM no es hackeo de verdad.
Po fale.
En fin...
Eso es hackear, te dediques a la seguridad o no, el MITM es una técnica de hackeo.
En el propio artículo dice también lo de 3G.
Pero bueno, que no pasa nada.
Wikipedia EMT: es.wikipedia.org/wiki/Empresa_Municipal_de_Transportes_de_Madrid
Desde que se creó el Consorcio Regional de Transportes de Madrid en 1985, entidad que gestiona todos los medios de transporte público de la Comunidad de Madrid, la EMT opera bajo su autoridad. Actualmente (2011), la EMT gestiona una flota de 2.092 autobuses repartidos por 215 líneas que tienen una extensión de 3.500 kilómetros.
Wikipedia Consorcio: es.wikipedia.org/wiki/Consorcio_Regional_de_Transportes_de_Madrid
El Consorcio Regional de Transportes de Madrid es una sociedad pública dependiente de la Comunidad de Madrid que gestiona y regula todos los transportes públicos colectivos de la Comunidad y que fue fundada el 16 de diciembre de 1985.
Además incluye la EMT entre entidades gestionadas por el consorcio.
Web del Consorcio: www.crtm.es/
Verás que la EMT está incluída como parte del consorcio.
Ahora bien, al final ambos teníamos razón. Por lo que veo el Consorcio gestiona EMT para algunas cosas y otras no. Son competencias del Consorcio sobre EMT:
- Horarios
- Frecuencias
- Estaciones y paradas de interurbanos
- Tarifas, precios y sistema tarifario
- Información del viajero
- Vehículos interurbanos.
Es competencia de la EMT:
- Estaciones y paradas de urbanos
- Atención al usuario
- Vehículos urbanos
Si consideramos que la App es "atención al usuario" entonces efectivamente es competencia de EMT.
La EMT depende 100% de Ayuntamiento, y lo de Bicimad también.
Si hubieran accedido al panel de usuario, o cambiasen un id y viesen otros datos como pasó con la página del ministerio aceptaría barco, por cierto se puede hacer MITM redireccionar a un proxy que quita el ssl y a menos que te fijes en que no tienes el candado en el navegador (o el navegador te avise, que no creo) también pueden ver tus contraseñas en plano .... solo que para ello tendrían que acceder a tu red.
Hackeo no significa que tenga que ser complicao.
¿Cómo les ha podido pasar?
Si a ti te parece una no noticia tirar la pasta, pues vale.
jodido terrorista...
"Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?"
No lo creo. Pedir una API abierta es como pedir a un servidor de correo que utilice POP3/SMTP para acceder a él. Incluso si quien lo pide se dedica a desarrollar un cliente de correo cerrado no quiere decir que su petición no tenga sentido. Sobre todo cuando se trata de un servicio público. De hecho que haya una API abierta significaría que cualquiera podría desarrollar una aplicación libre para acceder al servicio.
Y es insegura si te conectas desde un WiFi abierto.
Es insegura si te conectas desde un WiFi abierto o si el atacante tiene acceso a la WiFi donde estás conectado: stackoverflow.com/questions/32237955/if-i-know-the-password-of-a-wpa2-
Esto es como guardar las contraseñas en texto plano, que "solo es inseguro el atacante consigue acceder a la base de datos". Si algo es inseguro lo es y punto. Y que un servicio supuestamente gestionado por profesionales envíe las contraseñas sin cifrar es inaceptable.
Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.
Eh... no. SSL no genera un tráfico mucho mayor: www.maxcdn.com/blog/ssl-performance-myth/
Pues por que utiliza HTTP en lugar de HTTPS. Lo cual es curioso por que la web oficial de BiciMad (desde donde te puedes registrar y acceder al servicio) sí que utiliza HTTPS.
Gracias.
¿Es tan difícil poner un lector de tarjetas en las estaciones que te diga cuantos viajes te quedan?
No usar SSL es una chapuza
No usar SSL es una chapuza, pero no es el fin del mundo y definitivamente no es "hackear" nada.
Y si, no usar SSL cuando mandas información confidencial es el fin del mundo, al menos para la empresa que hace eso. Las multas son millonarias
<< Los viajeros portadores de títulos de transporte con un número limitado de viajes, tendrán el derecho a permanecer durante las tres horas siguientes a su validación en las instalaciones de la red del Ferrocarril Metropolitano. >>
www.metromadrid.es/es/viaja_en_metro/uso_y_accesibilidad/index.html
Y en cuanto a la seguridad, si estás en la misma red y puedes capturar las tramas, todo el tráfico está expuesto. A ver si te crees que con ssl estás a salvo.
Hackear no solo implica alterar un programa informático. Es un concepto más amplio (y ambiguo) de lo que indicas.