28 octubre 2011

Las tarjetas SUBE Y MONEDERO brindan información personal y de localización del usuario

Siempre estamos pensando, en que tan seguros están nuestros datos en "la nube", donde irán a parar datos tan críticos como DNI, teléfonos, contactos, etc., y a veces haciéndonos planteos como: "¿el verdulero de la esquina, sabe a qué hora uso el subte cuando lo saludo, todas las mañanas?".
Gracioso o no, datos que son importantes como horario y lugar en que me encuentro durante un tiempo, son lo que uno debería pensar de no hacer públicos.

El porque es muy fácil de deducir, estos datos pueden servir para conocer nuestros movimientos, saber rutinas de viajes y otros datos personales que no deberían estar al alcance de cualquiera.
Lamentablemente conocer esta información de las personas se ha tornado muy sencillo mediante las tarjetas SUBE y MONEDERO, disponibles en Argentina para viajar en trenes, colectivos y subtes.

Ingresando a la web de SUBE, en la parte superior, a la derecha, encontraremos una vínculo con Mis Viajes.

Una vez allí, se solicita el número de tarjeta a consultar y un CAPTCHA:


La información que se brinda es fecha y horario, tipo de transporte (colectivo, tren o subte), línea, lugar de origen, el costo del viajes y el saldo de la tarjeta:

Si bien para realizar la consulta, se debe disponer del número de tarjeta e ingresar un CAPTCHA (que evita la automatización) se puede ver que la información brindada por sí sola no es crítica pero, es lo suficientemente clara como para poder cometer un ilícito. Si pensamos que estos datos pueden ser los de un menor de edad, sí se vuelven lo suficientemente importantes como para que no deban ser revelados de forma tan sencilla.
Además de esta información, en el caso de que la tarjeta haya sido suministrada por una empresa, dicha información también se muestra.

Con lo que respecta a la otra tarjeta Monedero, el proceso es distinto y la persona debe registrarse previamente y disponer de un usuario y contraseña para visualizar los mismos datos de los viajes. Sin embargo y lamentablemente, aquí el problema es peor y radica en que si se ingresa un DNI válido, se muestra la información personal de dicha persona:

Incluso la consulta se puede realizar de forma automatizada (no dispone de CAPTCHA) a través de la siguiente consulta web:
http://nominacion.monedero.com.ar/App/ObtenerYManipularDatosDeCliente/
ObtenerYManipularDatosDeCliente.aspx?vTipoDocumento=TIPO-FIJO
&vNroDocumento=DNI-PERSONAL
&esModificacion=False
&ExisteCC=False

Esto comportamiento es totalmente incongruente con cualquier medida de seguridad, ya que se puede realizar una consulta para cualquier número de documento y el sistema brindará la información de la persona involucrada.

Este artículo nace de una discusión en el foro de Segu-Info en 2009 cuando aparecieron las tarjetas y en nuevamente en octubre de este año, donde intentamos ponernos en contacto con las empresas para que mejoren este sistema de control de las tarjetas.
Los responsables del sitio, explicaron que los datos son almacenados porque "si la tarjeta es perdida o robada, ellos la bloquean y el usuario recupera el dinero que tenía cargado al momento de la pérdida". Lo que no explican es porqué esa información se encuentra publicada casi sin control.

Al realizar otra consulta, la información provista por los administradores del sitio es imprecisa al decir que "la sección mis viajes muestra solamente fecha y hora y medio de transporte utilizado con la tarjeta SUBE, sin develar datos personales del titular de la misma. Por lo que no es posible asociar la información con el titular de la tarjeta."


Por otro lado la supuesta utilidad radica que que se pueden realizar denuncias ante la CNRT (Comisión Nacional de Regulación de Transporte) y la tarjeta puede ser utilizada como "prueba" de que el usuario se encontraba en la línea de transporte que está denunciando.

Como dice un usuario en el Foro de Segu-Info, "es muy difícil decidir que porcentaje de intimidad hemos sacrificado en pos de la tecnología, pero ha tomado parte de lo que era nuestra intimidad y está en el dominio público y bastante fácil de encontrarla para alguien entrenado".


Actualización 18:00: al parecer los creadores de Monedero están cambiando la plataforma ya que desde hace unos momentos no es posible realizar consultas de la manera descripta e eliminaron parte de su contenido web (dan error 404).


Oscar Banchiero y Cristian Borghello


Tomado de: http://blog.segu-info.com.ar/2011/08/las-tarjetas-sube-y-monedero-brindan.html

1 comentario:

Anónimo dijo...

Good daу! Τhis is my 1st comment hеre so I just wantеd to gіѵe a quick
shout out and tell you I really enјoy reаding your blog posts.
Сan yоu rеcоmmend any other blogs/websitеs/forums that go оveг
the ѕame subjects? Thanκs!
My site :: de captcha