Hace 6 años | Por erdavo a cadenaser.com
Publicado hace 6 años por erdavo a cadenaser.com

La nueva versión contiene los mismos agujeros que la anterior y puede poner al descubierto datos sensibles: analizamos y comprobamos con un experto sus carencias de seguridad y cómo podrían obtener tu DNI o tus trayectos.

Comentarios

D

#1

Ni verás : "La que está chapuceando Carmena". lol lol lol

M

#1 habrán dejado la contraseña en un post-it y....

D

#1 Correcto, no la gestiona Ana Botella. En una empresa hay que diferenciar a quién pertenece y quién gestiona. EMT pertenece al ayuntamiento de Madrid, pero la gestiona el Consorcio Regional de Transportes de Madrid, que es de la Comunidad. Y tal.

D

#21 No la gestiona el consorcio, querido.

D

#25 Pues corre raudo a actualizar wikipedia, la web del consorcio y la web de la EMT... y las hemerotecas de periódicos del 2015 cuando cifuentes a través del consorcio cortó el grifo a la EMT. Cuando termines de actualizar todo hazme un llamacuelga.

D

#30 Que no la gestiona la Comunidad, coño.
Es una empresa 100% gestionada por el ayuntamiento y esta APP está creada por el ayuntamiento.
Punto y final.

D

#31 creerte a ti o a la web del consorcio... dura elección en un tema sobre el consorcio.

D

#32 Ponme la web del consorcio donde diga que el consorcio dirige la EMT y no el ayuntamiento.

D

#33 Primero actualiza la wikipedia. Paso de discutir con alguien que no se toma ni esa molestia. Yo al menos aporto esa prueba, tú sólo tu palabra. Y seguiría sin explicar por qué en 2015 cifu pudo tocar los cojones a emt si según tú es gestionada por ayuntamiento. Moléstate en buscar en lugar de poner negativos a la ligera, y aporta algo que no sea la palabra de un señor anónimo de internet. No me seas creacionista.

D

#34 ¿Pero qué wikipedia ni qué niño muerto?
Tú has dicho que la web del consorcio dice que la EMT la gestiona el PP de la comunidad.

Yo seré creacionista pero tú pareces un predicador de esos de equo.

D

#36 Ok. Vamos allá:
Wikipedia EMT: https://es.wikipedia.org/wiki/Empresa_Municipal_de_Transportes_de_Madrid
Desde que se creó el Consorcio Regional de Transportes de Madrid en 1985, entidad que gestiona todos los medios de transporte público de la Comunidad de Madrid, la EMT opera bajo su autoridad. Actualmente (2011), la EMT gestiona una flota de 2.092 autobuses repartidos por 215 líneas que tienen una extensión de 3.500 kilómetros.

Wikipedia Consorcio: https://es.wikipedia.org/wiki/Consorcio_Regional_de_Transportes_de_Madrid
El Consorcio Regional de Transportes de Madrid es una sociedad pública dependiente de la Comunidad de Madrid que gestiona y regula todos los transportes públicos colectivos de la Comunidad y que fue fundada el 16 de diciembre de 1985.
Además incluye la EMT entre entidades gestionadas por el consorcio.

Web del Consorcio: http://www.crtm.es/
Verás que la EMT está incluída como parte del consorcio.

Ahora bien, al final ambos teníamos razón. Por lo que veo el Consorcio gestiona EMT para algunas cosas y otras no. Son competencias del Consorcio sobre EMT:
- Horarios
- Frecuencias
- Estaciones y paradas de interurbanos
- Tarifas, precios y sistema tarifario
- Información del viajero
- Vehículos interurbanos.

Es competencia de la EMT:
- Estaciones y paradas de urbanos
- Atención al usuario
- Vehículos urbanos

Si consideramos que la App es "atención al usuario" entonces efectivamente es competencia de EMT.

D

#47 Una cosa es regular y otra cosa es lo que tú decías.
La EMT depende 100% de Ayuntamiento, y lo de Bicimad también.

SalsaDeTomate

#47 El Consorcio es quien, efectivamente, regula el transporte público pero las empresas, sean públicas como la EMT u otras privadas, se autogestionan así mismas en función de los servicios que el Consorcio les dice que tienen que cubrir.

sombra2eternity

#1 No veo que hayan hackeado nada

D

#38 Pues lo pone en el artículo, bastante fácil de leer.
http://www.cursodehackers.com/ManInTheMiddle.html

Si te quieres escudar en la semántica para defender esta cagada diciendo que MIM no es hackeo de verdad.
Po fale.

sombra2eternity

#40 Hombre, me dedico a la seguridad, haz un MITM en una red 3G, ¿Donde han dumpeado la base de datos?, ¿Está ya en haveibeenpwned o aún no? Que potencialmente sin ssl puedas ver los datos en plano es muy diferente de "la han hackeado". Si eso es hackear (poner un wireshark) y han tardado 2 putas horas, no se quien es peor, si los de bicimad o los hackers.

En fin...

D

#42 #43 Han hackeado la comunicación entre el terminar y el servidor.
Eso es hackear, te dediques a la seguridad o no, el MITM es una técnica de hackeo.
En el propio artículo dice también lo de 3G.
Pero bueno, que no pasa nada.

D

#45 Eso no es hackear, es capturar tráfico. Hackear la aplicación sería modificarla para conseguir un resultado para el que se supone que no está preparado. Por ejemplo haberla modificado para con ello poder ver los datos sin necesidad de capturar con software externo. ¿Entonces segun tú, como IRC es un protocolo en texto plano, si alguien captura una conversación a hackeado el protocolo? ¿Ha hackeado por ejemplo a IRC-Hispano? No teneis ni idea de lo que es hackear.

Ademas habrán usado la tecnica mas cutre de hacer un MITM, envenenamiento ARP, anda que se curran un fake dhcp o algo mejor. El arp poisoning es una mala broma muy facil de detectar. Vamos de hecho muchos capturadores como wireshark, ya que lo mentaron antes, son capaces de detectarlo. Tambien es fácil de detectar con añadir entradas estaticas a la tabla arp.

D

#64 Pues si unos chapuzas pueden ver lo que se manda al servidor, me estás dando más la razón.

D

#65 No es que sean chapuzas, es que son protocolos antiguos. Al protocolo FTP le pasa lo mismo. Que alguien haga algo mal no quiere decir que lo hayas hackeado. Si una maquina expendedora esta estropeada y me deja comprar sin pagar yo no he hackeado nada. He sacado la comida gratis, pero no he hackeado nada. ¿Ves la diferencia?

D

#66 Con cada mensaje me das más la razón.

D

#67 Creo que no lo entiendes.

D

#68 Lo entiendo bastante bien.
Gracias.

D

#69 Tus comentarios demuestran lo contrario.

D

#66alexruperezalexruperez ¿algo que aportar ademas de un voto negativo porque sí? ¿He dicho alguna mentira? ¿He insultado alguien? Imagino que no, otro mafioso ideologico. Como no estoy de acuerdo te calzo negativo... Cada día da mas asco este sitio gracias a gente como tú. En lugar de enriquecer el debate con tu opinión a destruirlo jodiendo el karma al que la dá. Vaya un dictador del debate y la razón estas hecho.

alexruperez

#85 Uso el voto positivo o negativo cuando estoy o no de acuerdo con algo, con todo lo que tu dices no estoy de acuerdo, ya que no solo he he hecho un MitM (

y después de habérselo avisado a los responsables de movilidad de la EMT en público y en persona (
y haberles ofrecido ayuda y nuestra app (gratis), creo que cometer el mismo error otra vez está muy mal hecho.

D

#91 Pues toma, porque no estoy de acuerdo.

alexruperezIGZ

#95@Salmonela si todo esto

solo es capturar tráfico, vuelve a donde hayas estudiado anda, que necesitas repasar un poquitín. roll

D

#97 Que hayan analizado la aplicación y te expliquen el procedimiento no quiere decir que hayan hackeado nada. Confundes una parte del proceso con el proceso completo. Por ponerte un ejemplo. hacer ingeniería inversa de una aplicación, aunque sea java que sacas el source casi real, aunque no este ofuscado, solo por el volumen de codigo puede ser una labor que lleve meses. Pero eso no quiere decir que hayas hackeado nada. Te hablaría mas concretamente del video pero ahora mismo no puedo ponerme con un video de 45 minutos. Tendras que esperar a la noche.

alexruperezIGZ

#98 Si de verdad crees que hacer un MitM e ingeniería inversa sobre un código ofuscado para encontrar una vulnerabilidad y reportarla públicamente no tiene nada que ver con la definición de security hack, entonces no es necesario que pierdas tus 45 minutos para concretar tu opinión, no me interesa conocerla.

D

#99 Repasate el hilo y ve a mi comentario en el que explico que una vulnerabilidad no es lo mismo que un hack. ¿Voy a tener que repetir 40 veces lo mismo?

D

#99 Y por cierto, ofuscar el codigo java solo hace que lleve mas trabajo, pero no tiene nada de complicado. La unica parte que puedes ofuscar son los objetos que creas tu. Luego llega un momento que son llamadas al API de Java y eso no lo puedes renombrar, por lo que con eso deduces la utilidad de cada clase. Ademas de que no necesitas analizar todo el código. Por ejemplo si quieres crackear algo, lo primero que debes hacer es localizar los strings, por ejemplo el de validacion de licencia (el texto del boton, de la respuesta, el titulo del dialog, etc) y ya de ahí solo analizas la parte que necesitas. ¿Alguna vez lo has hecho? ¿No verdad?

alexruperezIGZ

#108 decía que en el #95 perdiste la razón, jajaja! Na, es coña, mírate el vídeo del #97 y verás que justo lo que hago es buscar en el código ofuscado en Java el algoritmo para generar el token de autenticación.

alexruperezIGZ

#105 en el #95 figura, jajaja! En fin, voy a seguir hackeando... https://media.giphy.com/media/IbYGMVhugrOxi/giphy.gif

D

#64 ¿algun@admin que pare aalexruperezalexruperez con su uso indiscrimando del negativo?

alexruperez

#86 ¿algún@admin que evite que@Salmonela censure mi uso del positivo y negativo? kiss

D

#92 Yo no he censurado nada, lo solicito, en todo caso lo hara el admin lol

F

#64 Han detectado una vulnerabilidad en la aplicación y además la han reportado. Es un hackeo en toda regla.

Hackear no solo implica alterar un programa informático. Es un concepto más amplio (y ambiguo) de lo que indicas.

D

#87 Una vulnerabilidad y un hack no son la misma cosa. No tiene un concepto amplio, vosotros lo ampliais para que entre cualquier cosa. Si yo envío una carta sin cifrar y tu la intervienes ni has hackeado la carta ni has hackeado a correos. Siemplemente la via de comunicación establecida no es segura, pero no has hackeado absolutamente nada.

F

#88 Han hackeado el sistema de comunicación de la aplicación con el servidor. ¿Así mejor?

D

#89 Tío no voy a insistir más, una ultima vez, eso es capturar tráfico.

alexruperezIGZ

#88 Efectivamente, no me interesa.

D
malacaton

#1 Y en las peores casas también...

D

#5 ESto es del ayuntamiento de Carmena.

S

#8 paren las rotativas! La app de bicimad no chuta! Dimisión! Rojos! Venezuela!

Eso si, amiguito, callado como una puta con los millones que roba tu partido. Y con sus chanchullos, sobres y contratos blindados a amigotes. En el mismo ayuntamiento.

A ver si Cataluña se larga y vamos detrás nosotros, porque que cruz, joder, que cruz.....

S

#22 nada en absoluto. Mi comentario era una crítica directa a mi interlocutor.

andreloff

#12 Cataluña, el PP... en una noticia de Bicimad. ¡Bravo!

D

#12 Joder, y por qué no funciona, si la empresa Bicimad fue "nacionalizada" y en el ayun cuentan con el mejor informático ese, el que hacía superaplicaciones tcomo MANOLITOM el Pablo Soto.
¿Cómo les ha podido pasar?

sombra2eternity

#8 Una no noticia, sobre un no hackeo y todo para hacer un "titiriteros" contra el ayuntamiento ... se te veía venir a la legua

D

#56 A ti también se te veia el cartón, con eso de que era sensacionalista cuando no lo es.

Si a ti te parece una no noticia tirar la pasta, pues vale.

x

#2 porque esos fallos de seguridad se deben a que hay gente tirando lineas que no tiene ni guarra de lo que hace y se dedica a copiar y pegar cosas de stackoverflow. Asi de simple. ¿Vas a poner en un pliego "quiero que todos los programadores sean buenos y el analista sepa lo que hace"? Te diran que no hay analistas, que ahora hay "chief main architects" y "happiness managers" y que con scrum y tdd la calidad esta asegurada...

elvecinodelquinto

#11 ¿No se hace todo copiando y pegando de stackoverflow? Anda ya

x

#41 entiendo que es dolorido sarcasmo...

arisoyo

#7 Mi duda es cómo ven los revisores en la Multi si has "picado" al entrar. Porque conozco un amigo de un amigo que "pica" el billete de cartón una vez al día y se cuela el resto de veces que puede, y si le piden billete los revisores, tiene el día marcado en el cartón.
¿Es tan difícil poner un lector de tarjetas en las estaciones que te diga cuantos viajes te quedan?

ann_pe

#70 Los revisores llevan un lector de tarjetas NFC para verlo, con los de cartón creo que solo miraban que estuviera marcado pero no sé si pone solo el día o pone también la hora (y en la banda magnética si lo pasan por un lector puede que les salgan más cosas) . En las estaciones de Metro al pasar la tarjeta por el torno fijándose en la pantallita en teoría te dice cuantos viajes quedan, pero no se pueden consultar desde la web, y en Cercanías se pueden ver cuantos viajes te quedan en la tarjeta de Renfe. El problema es que si no te fijas o no funciona la pantallita, o llevas un par de semanas sin usar el billete y no te acuerdas no sabes cuantos viajes quedan en cada bono, que son máximo de dos bonos por tarjeta y eso cuando sean de zonas diferentes porque si no la máquina no sabría si cobrarte de un bono o de otro, y aunque la TTP en teoría está preparada para cargar bonos de 10 el consorcio no permite cargarlos en esa tarjeta por el momento, por lo que a mi el cambio de cartón a plastico solo me supone pagar 5 € extra por el soporte físico y poder cargarlas a las 12 de la noche desde los cajeros de Bankia, que cargarlos desde los cajeros puede parecer una nueva ventaja pero el hecho es que es una obligación porque si tengo un metrobus y un bono de interurbanos en la misma tarjeta no puedo recargar ninguno de esos bonos hasta que uno de ellos se acabe por completo... o comprar más tarjetas de reserva a 2,5 € ud.

arisoyo

#73 En los de cartón pone sólo el día, y es lo que miran los revisores. Con que esté impreso un viaje con la fecha de ese día, puedes viajar todas las veces que te dé la gana porque no hay forma de saber si picaste a las 09:21 o a las 23:54. En cualquier caso, imagino que con la multi pasará lo mismo dado que no hay una estancia máxima dentro de las instalaciones del metro. Y con que pases la tarjeta una sola vez al día, podrás colarte todas las siguientes sin picar.

ann_pe

#79 Sí hay una estancia máxima (y con los de cartón me suena haber visto revisores con lectores magnéticos, lo que pasa es que si se junta mucha gente y no hacen cola, que no están obligados a hacer cola para salir, y hay más revisores que lectores pasarán de maquinitas):

>

https://www.metromadrid.es/es/viaja_en_metro/uso_y_accesibilidad/index.html

arisoyo

#81 Gracias! Es bastante conveniente saberlo y más con la implantación de la multi!

BuckMulligan

#3 Eso es debido a que iOS no lo permite, no a que no sepan hacerlo los desarrolladores. Es posible que a partir de iOS 11 se pueda.
La culpa a quién la tiene, en este caso Apple.

jm22381

#14 iOS 11 creo que ya tiene para leer NFC pero no para escribir creo recordar. De todos modos da igual, la del abono se consulta con el código numérico que viene detrás de la tarjeta. En la tarjeta Multi tiene un código pero no permite consultarlo.

I

#3 Bicimad es responsabilidad del Ayuntamiento, la tarjeta multimodal de metro de la Comunidad.

I

No llevar ssl es una chapuza, pero decir "han hackeado" cuando lo que hacen es man in the middle es un poco tendencioso.

fgr12604

#17 Estoy de acuerdo.
Además, respecto al artículo lo que veo es que critican con dureza la aplicación de Bicimad pero con el objetivo de publicitar la de la persona que ha entrado en el sistema de Bicimad.
"aprovechando el "descubrimiento", MadBike incorporará nuevas funcionalidades, que no podrían implementar si se limitaran a utilizar la API pública del servicio. Ahora están desarrollando la nueva actualización en sus ratos libres, que incorporará la compatibilidad con la pantalla del iPhone X en su versión para iOS. Además, pronto anunciarán que van a liberar todo el código de su aplicación para que todo el mundo pueda colaborar."

ann_pe

Para ver cuantas bicis hay en cada estación de Bicimad se puede usar alguna APP no oficial como esta, que no envía datos personales:

https://fossdroid.com/a/openbikesharing.html

D

#51 Enhorabuena.

D

#49 Sería una técnica de hacking.
Hackeo no significa que tenga que ser complicao.

sombra2eternity

#50 Entonces te anuncio que ya he hackeado todas las páginas de internet.

ann_pe

Lo del HTTPS hay un montón de tiendas online, compañías eléctricas, etc., que han empezado a usarlo cuando Firefox y Chrome han empezado a marcar como inseguras sus webs. Las APP es lo bueno (o malo para el usuario) que tienen, que no avisan de que envían tus datos de forma insegura.

Joachim_Ratoff

¿Alguien sabe si hay alguna aplicación hecha con OpenStreetMaps en la que BiciMad funcione? Estoy harto de google.

TinkerTinker

#19 en F-Droid tienes OpenBikeMap, pero solo para consultar el número de bicis en cada estación

M

algo sensacionalista o me equivoco?

además "sólo afecta en el supuesto de que un usuario navegue en una wifi abierta" : una app de movilidad, en una wifi abierta??

D

#20 Lo cual es más común de lo que crees y con el tiempo lo será más. Cuando vas al aeropuerto o una estación de bus o tren, ¿a que esperas encontrarte una wifi abierta? O cuando vas por la calle, en algunos sitios, lo esperas. O incluso si no es abierta, si en un local te dan la contraseña wifi, te conectas. Y por toda la ciudad las wifis abiertas para dar cobertura libre. Pues una vez dentro, jauja. Puedes hacer tú mismo el experimento, ir a una estación, abrir una wifi creando un hotspot, llamale "wifi-guest" por ejemplo. Para dar más credibilidad, puedes hacerte una página de autorización para conexiones entrantes y pedir datos personales o incluso mail y contraseña... la gente te los enviará.

Pero el tema no es ese. El tema es que yo, trabajando en empresa privada, si hago una app que envía datos en claro sin https que incluyen la contraseña y el dni, estaría de patitas en la calle. Y la empresa también por no hacer el pentest recibiría una auditoría. Y ahora viene lo divertido: el dni es un dato de carácter personal, por tanto protegido por la LOPD, y por tanto un dato protegido. Que no significaría mucho si no fuese porque la Agencia de Protección de datos generó un informe con recomendaciones para asegurar esta protección, y la primera de todas era el empleo de SSL en toda comunicación que transportr un dato personal. Con lo cual hay base para demanda hacia la empresa, que al ser pública... la demanda sería una buena herramienta política. Espero que no me esté leyendo Cifuentes.

ann_pe

#28 El DNI por si solo según la LOPD solo requiere la protección más básica, el SSL es solo una recomendación, una recomendación que deberían tomarse en serio algunas tiendas online que siguen sin usar SSL para introducir los datos personales (y no hace mucho hasta las compañías telefónicas te mostraban tu historial de llamadas en una web HTTP), pero que no les van a multar por ello. Otra cosa es que en el conjunto de datos que guarda Bicimad haya datos que requieran mayor nivel de protección.

D

#20 En realidad que estés conectado a una red WiFI con WPA2 no te protege mucho contra la gente que está también está conectada a ella. Y esa es la razón por la que existe WPA2-Enterprise: https://www.howtogeek.com/204335/warning-encrypted-wpa2-wi-fi-networks-are-still-vulnerable-to-snooping/

sombra2eternity

El artículo es lo más sensacionalista que he visto nunca, vale que sin ssl puedes ver lo que se envia en texto plano, pero para ello tienes que estar en la misma red que la víctima y hacer correctamente un MITM (man in the middle). No se, pensé que habrían volcado la base de datos con una inyección SQL o algo.

Aquí no veo que se haya hackeado nada y el que ha escrito el artículo debería dejar de ver Mr Robot.

D

#35 No es sensacionalista, dice lo que dice, y lo que dice es verdad.
Que cualquiera en tu misma red puede ver tus datos.

antuan

#37 Bueno, yo creo que un poco sí... no veo que haya "hackeo" en ningún sitio, no se han metido en el programa ni en los servidores. Que es poco seguro, correcto, es una chapucilla. Que todo el mundo no va con un sniffer por ahí, también es correcto.

sombra2eternity

#37 Entonces voy a buscar todas las paginas sin ssl, voy a ir al login, abrir las herramientas de navegador y ver como en Red se envía el usuario y contraseña en texto plano de MI usuario (que es lo que se ha hecho en el artículo), y me voy a atribuir el haber "hackeado" todas y cada una de ellas ...

Si hubieran accedido al panel de usuario, o cambiasen un id y viesen otros datos como pasó con la página del ministerio aceptaría barco, por cierto se puede hacer MITM redireccionar a un proxy que quita el ssl y a menos que te fijes en que no tienes el candado en el navegador (o el navegador te avise, que no creo) también pueden ver tus contraseñas en plano .... solo que para ello tendrían que acceder a tu red.

d

#49 no hay escusa alguna para mandar información "confidencial" en texto plano. Eso es algo que solo un chapuzas haría.

sombra2eternity

#71 Correcto, no estoy discutiendo tal cosa. Pero reitero, que no han hackeado nada lo que pasa es que el otro titular no vende. Simplemente el tráfico no va encriptado (venga va, cifrado) por lo que en una eventual alineación planetaria, si alguien está en tu red, te hace un man in the middle y en ese preciso instante tu app de bicimad hace el login (que es donde irán los datos más sensibles), esa persona verá tus datos. Vamos, de aquí al lunes un millón de logins robados como mínimo lol

d

#35 Por que hace falta un MitM? Con estar en la misma wifi publica?
No usar SSL es una chapuza

sombra2eternity

#72 Siempre necesitas un MITM, el tráfico va dirigido, si tu quieres que el tráfico de la víctima pase por ti (tu máquina) para poder snifar tienes que decirle al router que tu eres la víctima y a la víctima que tu eres el router. En wifi hay otro truco que es clonarle la mac a la víctima, en redes cableadas da un conflicto de red, pero en wifi como el router no sabe cual es el auténtico, simplemente envía a los 2.

No usar SSL es una chapuza, pero no es el fin del mundo y definitivamente no es "hackear" nada.

d

#76 puedes capturar los paquetes sin hacer MitM en una conexion inalambrica insegura. Por eso es recomendable utilizar VPNs cuando usas wifis publicas.

Y si, no usar SSL cuando mandas información confidencial es el fin del mundo, al menos para la empresa que hace eso. Las multas son millonarias

sombra2eternity

#78 Si, poniendo la tarjeta en modo "promiscuo" pero vamos, ¿que % de gente vas a pillar con eso?

Sofrito

No sabía que la Empresa Municipal de Transportes se dedicara al desarrollo de software

X

#6 y al enlazarlo estas apoyando que a los informaticos de mename nos de algo...

jodido terrorista...

O

Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?
Y es insegura si te conectas desde un WiFi abierto. Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.

Pero bueno, a lo que vamos:
¡La que está liando Carmena!

D

#27
"Este desarrollador que hace publicidad de su app pide que la API sea abierta (que ya lo es) pero su app NO ES ABIERTA. Mucho morro, no?"

No lo creo. Pedir una API abierta es como pedir a un servidor de correo que utilice POP3/SMTP para acceder a él. Incluso si quien lo pide se dedica a desarrollar un cliente de correo cerrado no quiere decir que su petición no tenga sentido. Sobre todo cuando se trata de un servicio público. De hecho que haya una API abierta significaría que cualquiera podría desarrollar una aplicación libre para acceder al servicio.

Y es insegura si te conectas desde un WiFi abierto.

Es insegura si te conectas desde un WiFi abierto o si el atacante tiene acceso a la WiFi donde estás conectado: https://stackoverflow.com/questions/32237955/if-i-know-the-password-of-a-wpa2-access-point-can-i-passively-eavesdrop-to-comm

Esto es como guardar las contraseñas en texto plano, que "solo es inseguro el atacante consigue acceder a la base de datos". Si algo es inseguro lo es y punto. Y que un servicio supuestamente gestionado por profesionales envíe las contraseñas sin cifrar es inaceptable.

Como casi todos los servicios de este tipo. Implementar ssl genera un tráfico mucho mayor y no merece la pena para servicios como estos donde no circula información crítica.

Eh... no. SSL no genera un tráfico mucho mayor: https://www.maxcdn.com/blog/ssl-performance-myth/

O

#59 Ese artículo que me enlazas me da la razón. SSL genera más tráfico al empezar la conexión por la seguridad del protocolo. Si después de todo eso se recibe una petición de datos mínima (supongo que un json de pocos caracteres), pues el tráfico generado puede ser más del doble.
Y en cuanto a la seguridad, si estás en la misma red y puedes capturar las tramas, todo el tráfico está expuesto. A ver si te crees que con ssl estás a salvo.

alexruperezIGZ
JoulSauron
D

el subcontratador que subcontrate buen subcontratador sera.

D

#44 ¿Insinúas que el ayuntamiento de Madrid compró BICIMAD diciendo que la gestión privada no era eficiente y ahora está subcontratando?

l

Broncano, has vuelto a liarla tú?

D

Hombre, hay que reconocer que es una chapuza, tanto si lo hace X como si lo hace Y.

Chapuza y poco testado.

Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc.

D

#24 "Por otro lado, hay que investigar y analizar qué,cómo,porqué, etc."

Pues por que utiliza HTTP en lugar de HTTPS. Lo cual es curioso por que la web oficial de BiciMad (desde donde te puedes registrar y acceder al servicio) sí que utiliza HTTPS.

1 2