La Autoridad Catalana de Protección de Datos (APDCAT) ha abierto un expediente sancionador a SocMobilitat --la Unión Temporal de Empresas (UTE) que debe dar forma al nuevo título de transporte público de la T-Mobilitat-- por la brecha de seguridad que reveló datos personales de miles de usuarios a principios del pasado mes de octubre.
La APDCAT ha actuado a raíz de las denuncias presentadas por dicho incidente. Tras haber recabado la información, este viernes ha determinado que se le abra un expediente sancionador a la compañía. En próximas fechas, por determinar, se sabrá su resolución definitiva, así como el importe de la multa si la hay.
Vulnerabilidades
El fallo de seguridad de la T-Mobilitat propició que el pasado 7 de octubre la Autoritat del Transport Metropolità (ATM) suspendiera incluso temporalmente el acceso a la web de dicho servicio para realizar, junto a la Agència de Ciberseguretat, "un análisis exhaustivo" para descartar más vulnerabilidades.
El aviso de la filtración masiva de datos personales de usuarios --en un nuevo traspié de la Generalitat con este título de transporte-- lo dio Edin Kapić, un informático barcelonés que avisó a la ATM a través de sus redes sociales.
Testeo
Según este programador, la página de la T-Mobilitat filtró el pasado 4 de octubre un listado con los nombres y apellidos de 2.000 pasajeros abonados al nuevo título de transporte público de abonos contactless [aquí puede verse el hilo entero de Twitter].
El error se subsanó horas después, y la ATM abrió entonces un expediente informativo "a la empresa responsable de este desarrollo web". La página de la T-Mobilitat, diseñada por SocMobilitat --integrada por Caixabank, Fujitsu, Indra y Moventia--, se activó por esas fechas para que se registrasen los primeros usuarios de la tarjeta. La web se encontraba en fase de pruebas.