Des de Pirates de Catalunya portem dient des de l’any 2018, malgrat les amenaces legals de l’ATM, que el projecte T-Mobilitat presenta greus riscos a la privacitat. I fa pocs dies s’ha demostrat el primer, amb una potencial filtració de dades de més de 2.000 usuaris.
L’enginyer informàtic Edin Kapić va demostrar en un fil de Twitter la baixa qualitat de la implementació i pràctiques de seguretat de la plataforma desenvolupada pel grup format per la CaixaBank, Fujitstu i Indra, amb un contracte de 60 milions d’euros, on s’inclou també el desplegament de la infraestructura física de la T-Mobilitat.
Així, amb un disseny deficient i basat en la recopilació innecessària de dades personals, aquesta plataforma ha estat greument vulnerable perquè van deixar-se un usuari activat per defecte fàcil d’encertar per a qualsevol enginyer, exposant les dades dels primers 2.000 usuaris.
Donat l’important retard del transport urbà barceloní en arribar a l’era digital, amb la T-Mobilitat s’hauria pogut trobar alternatives viables avui en dia que permetin donar el servei personalitzat promès sense comprometre la privacitat ni l’anonimat dels usuaris. Tecnologies com les identitats autosobiranes, amb un estàndard europeu eIDAS gairebé enllestit, o la clàssica signatura electrònica combinada amb NFC, haurien fet impossible patir una vulnerabilitat tan greu com aquesta perquè les dades residirien en mans dels usuaris i no pas centralitzades en un servidor mantingut deficitàriament.
A més, fa poc s’ha demostrat un sobrecost superior a un 100 %, arribant fins a 146 milions entre contractes de TMB i l’AMT. Una solució ineficient i insegura, amb problemes d’implementació, amb un sobrecost inacceptable.
Tot plegat evidencia les mancances del model de la T-Mobilitat. Així, es confirmen les preocupacions que els col·lectius promotors de la campanya mobilitat.info, Pirates de Catalunya, Stop Pujades Transport, Críptica i Coordinadora Obrera Sindical, hem expressat en més d’una ocasió d’un projecte que només pot resumir-se com una violació de la privacitat de les persones i un nyap digital.
Pirates de Catalunya