Sociedad

L'Autoritat Catalana de Protecció de Dades multa amb 33.500 euros les empreses de la T-Mobilitat

Els responsables del disseny de la pàgina web del nou sistema de pagament del transport públic van cometre un error de seguretat l'any 2021 i les dades dels 2000 usuaris registrats van quedar al descobert

Detectat un forat de seguretat a la web de T-Mobilitat / ATM

Barcelona

L'Autoritat Catalana de Protecció de Dades ha multat amb 33.500 euros les empreses de la T-Mobilitat per una bretxa de seguretat que, el 5 d'octubre de 2021, va deixar al descobert les dades dels ciutadans que s'hi havien registrat. La major part de la sanció és per INDRA Sistemas S.A. per no "aplicar les mesures adequades" per protegir les dades personals dels usuaris. També multa el consorci SOC Mobilitat perquè entén que l'encàrrec que va fer a l'empresa responsable de la gestió de la pàgina web contemplava mesures de seguretat insuficients.

La bretxa de seguretat es va produir el 5 d'octubre de 2021. Ho va denunciar públicament un usuari de Twitter i ho va reconèixer l'Autoritat del Transport Metropolità. Durant unes hores, les dades dels usuaris registrats a la web de la T-Mobilitat, 2.161, havien estat obertes a tercers. El problema de seguretat havia estat un error molt bàsic: segons l'Autoritat Catalana de Protecció de Dades, "quan es va configurar el portal d'accés a la T-Mobilitat no es va modificar la contrasenya que per defecte assigna el fabricant de la infraestructura "Liferay" a l'administrador", de manera que tothom que conegués aquesta informació hi podia accedir. Per aquest error, Protecció de Dades multa Indra Sistemas amb 23.500 euros.

L'autoritat catalana que vetlla per la protecció de dades també ha multat amb 10.000 euros el consorci Soc Mobilitat perquè entén que no va traslladar a l'empresa responsable de la gestió de la web les mesures de seguretat adequades. Entén que va demanar a Indra Sistemas que garantís un nivell de seguretat bàsic, quan hauria d'haver estat més alt.

Sis denúncies

L'Autoritat Catalana de Protecció de Dades va rebre 6 denúncies de diferents ciutadans: 5 contra l'Autoritat del Transport Metropolità (ATM) i una contra SOC MOBILITAT. Tot i això, l'ATM no ha estat sancionada perquè havia encarregat el disseny i la gestió del web afectat al consorci d'empreses adjudicatari de la T-Mobilitat.

Les dades que van quedar compromeses són el nom, cognoms i identificar d'usuari d'entrada al portal web dels 2.161 ciutadans que estaven registrats en aquell moment.

Cronologia de la bretxa de seguretat

Segons l'expedient sancionador de l'Autoritat de Protecció de Dades la vulnerabilitat del portal la detecta un ciutadà i la fa pública a Twitter el dia 5 d’octubre del 2021 a les 15:39. Tres quarts d'hora més tard, l'Autoritat del Transport Metropolità comunica al consorci SOC Mobilitat que hi ha aquest problema. En aquell moment es va convocar un comitè tècnic urgent i a les 16:40 es corregeix l'error i es tanca la vulnerabilitat.

Tant Indra Sistemas com SOC Mobilitat van tenir un període per presentar recurs l'expedient sancionador de l'Autoritat Catalana de Protecció de Dades, però ara la multa ja és ferma.

 
  • Cadena SER

  •  
Programación
Cadena SER

Hoy por Hoy

Àngels Barceló

Comparte

Compartir desde el minuto: 00:00