La Autoridad Catalana de Protección de Datos ha multado con 33.500 € a T-Mobilitat, la empresa concesionaria que gestiona las tarjetas del trasporte metropolitano de Barcelona, y a Indra Sistemas, SA, la empresa que fue contratada para el diseño y gestión de la página web, por una grave brecha de seguridad que dejó al descubierto los datos de 2.000 usuarios registrados en el sistema.
Los hechos se remontan a 2021, cuando un usuario de Twitter denunció que se podía acceder, como administrador del sistema, a la web donde se registran los usuarios de la tarjeta T- Mobilitat y se podían ver los datos de los más de 2.00 usuario registrados. Durante unas horas, los datos de los usuarios registrados en la web de la T-Mobilitat, 2.161, habían sido abiertos a terceros. El problema de seguridad había sido un error muy básico: según la Autoridad Catalana de Protección de Datos, «cuando se configuró el portal de acceso a la T-Mobilitat no se modificó la contraseña que por defecto asigna el fabricante de la infraestructura «Liferay» en el administrador», de modo que todo el mundo que conociera esta información podía acceder.
La Autoridad Catalana de Protección de Datos ha decidió sancionar con 23.500 € a Indra Sistemas, SA y con 10.000 € a Soc Mobilitat porque entiende que no trasladó a la empresa responsable de la gestión de la web las medidas de seguridad adecuadas. Entiende que pidió a Indra Sistemas que garantizase un nivel de seguridad básico, cuando debería haber sido más alto.
Fuente: Cadena SER.