Imagen de un título de transporte de la T-Mobilitat, el sistema de abonos 'contactless'. SocMobilitat / CG

Imagen de un título de transporte de la T-Mobilitat, el sistema de abonos 'contactless'. SocMobilitat / CG

Business

Protección de Datos expedienta a SocMobilitat, la UTE que tiene que dar forma a la T-Mobilitat

La agencia de la Generalitat abre el proceso para sancionarle por la brecha de seguridad que dejó al descubierto datos de miles de usuarios el pasado mes de octubre

14 enero, 2022 17:16

La Autoridad Catalana de Protección de Datos (APDCAT) ha abierto un expediente sancionador a SocMobilitat --la Unión Temporal de Empresas (UTE) que debe dar forma al nuevo título de transporte público de la T-Mobilitat-- por la brecha de seguridad que reveló datos personales de miles de usuarios a principios del pasado mes de octubre.

La APDCAT ha actuado a raíz de las denuncias presentadas por dicho incidente. Tras haber recabado la información, este viernes ha determinado que se le abra un expediente sancionador a la compañía. En próximas fechas, por determinar, se sabrá su resolución definitiva, así como el importe de la multa si la hay.

Vulnerabilidades

El fallo de seguridad de la T-Mobilitat propició que el pasado 7 de octubre la Autoritat del Transport Metropolità (ATM) suspendiera incluso temporalmente el acceso a la web de dicho servicio para realizar, junto a la Agència de Ciberseguretat, "un análisis exhaustivo" para descartar más vulnerabilidades.

El aviso de la filtración masiva de datos personales de usuarios --en un nuevo traspié de la Generalitat con este título de transporte-- lo dio Edin Kapić, un informático barcelonés que avisó a la ATM a través de sus redes sociales.

Testeo

Según este programador, la página de la T-Mobilitat filtró el pasado 4 de octubre un listado con los nombres y apellidos de 2.000 pasajeros abonados al nuevo título de transporte público de abonos contactless [aquí puede verse el hilo entero de Twitter].

El error se subsanó horas después, y la ATM abrió entonces un expediente informativo "a la empresa responsable de este desarrollo web". La página de la T-Mobilitat, diseñada por SocMobilitat --integrada por Caixabank, Fujitsu, Indra y Moventia--, se activó por esas fechas para que se registrasen los primeros usuarios de la tarjeta. La web se encontraba en fase de pruebas.