25 oct 2011

Las tarjetas SUBE Y MONEDERO brindan información personal y de localización del usuario

Siempre estamos pensando, en que tan seguros están nuestros datos en "la nube", donde irán a parar datos tan críticos como DNI, teléfonos, contactos, etc., y a veces haciéndonos planteos como: "¿el verdulero de la esquina, sabe a qué hora uso el subte cuando lo saludo, todas las mañanas?".
Gracioso o no, datos que son importantes como horario y lugar en que me encuentro durante un tiempo, son lo que uno debería pensar de no hacer públicos.

El porque es muy fácil de deducir, estos datos pueden servir para conocer nuestros movimientos, saber rutinas de viajes y otros datos personales que no deberían estar al alcance de cualquiera.
Lamentablemente conocer esta información de las personas se ha tornado muy sencillo mediante las tarjetas SUBE y MONEDERO, disponibles en Argentina para viajar en trenes, colectivos y subtes.

Ingresando a la web de SUBE, en la parte superior, a la derecha, encontraremos una vínculo con Mis Viajes.
Una vez allí, se solicita el número de tarjeta a consultar y un CAPTCHA:

La información que se brinda es fecha y horario, tipo de transporte (colectivo, tren o subte), línea, lugar de origen, el costo del viajes y el saldo de la tarjeta:
Si bien para realizar la consulta, se debe disponer del número de tarjeta e ingresar un CAPTCHA (que evita la automatización) se puede ver que la información brindada por sí sola no es crítica pero, es lo suficientemente clara como para poder cometer un ilícito. Si pensamos que estos datos pueden ser los de un menor de edad, sí se vuelven lo suficientemente importantes como para que no deban ser revelados de forma tan sencilla.
Además de esta información, en el caso de que la tarjeta haya sido suministrada por una empresa, dicha información también se muestra.

Con lo que respecta a la otra tarjeta Monedero, el proceso es distinto y la persona debe registrarse previamente y disponer de un usuario y contraseña para visualizar los mismos datos de los viajes. Sin embargo y lamentablemente, aquí el problema es peor y radica en que si se ingresa un DNI válido, se muestra la información personal de dicha persona:
Incluso la consulta se puede realizar de forma automatizada (no dispone de CAPTCHA) a través de la siguiente consulta web:
http://nominacion.monedero.com.ar/App/ObtenerYManipularDatosDeCliente/
ObtenerYManipularDatosDeCliente.aspx?vTipoDocumento=TIPO-FIJO
&vNroDocumento=DNI-PERSONAL
&esModificacion=False
&ExisteCC=False

Esto comportamiento es totalmente incongruente con cualquier medida de seguridad, ya que se puede realizar una consulta para cualquier número de documento y el sistema brindará la información de la persona involucrada.

Este artículo nace de una discusión en el foro de Segu-Info en 2009 cuando aparecieron las tarjetas y en nuevamente en octubre de este año, donde intentamos ponernos en contacto con las empresas para que mejoren este sistema de control de las tarjetas.
Los responsables del sitio, explicaron que los datos son almacenados porque "si la tarjeta es perdida o robada, ellos la bloquean y el usuario recupera el dinero que tenía cargado al momento de la pérdida". Lo que no explican es porqué esa información se encuentra publicada casi sin control.

Al realizar otra consulta, la información provista por los administradores del sitio es imprecisa al decir que "la sección mis viajes muestra solamente fecha y hora y medio de transporte utilizado con la tarjeta SUBE, sin develar datos personales del titular de la misma. Por lo que no es posible asociar la información con el titular de la tarjeta."


Por otro lado la supuesta utilidad radica que que se pueden realizar denuncias ante la CNRT (Comisión Nacional de Regulación de Transporte) y la tarjeta puede ser utilizada como "prueba" de que el usuario se encontraba en la línea de transporte que está denunciando.

Como dice un usuario en el Foro de Segu-Info, "es muy difícil decidir que porcentaje de intimidad hemos sacrificado en pos de la tecnología, pero ha tomado parte de lo que era nuestra intimidad y está en el dominio público y bastante fácil de encontrarla para alguien entrenado".

Actualización 18:00: al parecer los creadores de Monedero están cambiando la plataforma ya que desde hace unos momentos no es posible realizar consultas de la manera descripta e eliminaron parte de su contenido web (dan error 404).

Actualización: luego de esta nota, los sitios han modificado su funcionamiento y lo han mejorado.

Actualización 25/01/2012: hoy la prensa se ha hecho eco de la noticia.

Oscar Banchiero y Cristian Borghello

Suscríbete a nuestro Boletín

22 comentarios:

  1. Que paradojico, en la pagina donde se hace la busqueda sobre un numero de tarjeta en particular dice al pie:
    "El SUBE es responsable registrado en la Dirección Nacional de Datos Personales. "

    Excelente informacion! Gracias Cris y Oscar! Esperemos que los sitios gubernamentales (minimamente) tomen conciencia de la importancia de la privacidad e informacion.

    Gustavo Nicolas Ogawa

    ResponderBorrar
  2. si bien presenta una demora segun Sube

    * Este servicio procesa los datos cada 48 horas hábiles, aunque algunos datos pueden demandar hasta 4 días hábiles en verse reflejados en la web

    realizando un analisis de frecuencia con respecto a los horarios que se lleva al dia a dia, podria delatar la localizacion del usuario


    Aguirre Matias

    ResponderBorrar
  3. La informacion del viaje brindada en la pagina del SUBE no infringe lo regido en la ley de proteccion de datos personales (DNPDP) y creo que yo que nadie mas que uno mismo es el que quiere verificar los ultimos 10 viajes, si tenes que seguir a una persona primero tenes que conocer su numero de tarjeta, no podes llegar a la información personal de la misma.

    Y vamos a ser un poco mas realistas... a quien seguirias por un bondi o por un tren?

    Yo me preocuparia mas por Facebook, Twitter o cualquier red social mas que por los ultimos 10 viajes que figuran aca.

    Saludos!

    ResponderBorrar
  4. Que paranoico que sos!!!

    Te pusiste a pensar que las TELCO saben todo el tiempo donde estas por que triangulan tu celular o tienen los datos del GPS del equipo?? O las prestadoras de las tarjetas de credito?
    La pagina del SUBE no da datos de la persona, solo los viajes asociados a un numero de tarjeta como un servicio para la gente y tambien da la opción de que si no queres que se pueda consultar esa info por internet pedir la baja!!
    Dejemos avanzar sin poner palos a los proyectos que sirven a la gente.
    Y te aconsejo que ocupes tu tiempo en algo mas productivo!!

    ResponderBorrar
  5. Contestando a este anonimo: si bien es cierto que necesitas el numero de tarjetas, el solo hecho de que te roben la billetera, y despues se vendan las tarjetas robadas, te pensas que asi no se diagrama un delito????
    Te puedo dar miles de ejemplos, que se pueden realizar, sabiendo "mis ultimos 10 viajes", asi como tratar o no de ser "realista"

    ResponderBorrar
  6. El capcha era bastante malo ademas. Las letras estaban en un color bastante diferente del fondo, ni siquiera tenian rotacion, usaban una sola fuente y estaban espaciadas regularmente. Es trivial de romper, incluso se deberia poder reutilizar codigo de JDownloader para hacerlo.

    ResponderBorrar
  7. Al "usuario de sube" "proyectos que sirven a la gente", decime a que tipo de gente?????

    A la misma, que ahora tiene que llenar una declaracion jurada si queres comprar dolares???

    Que buenos proyectos, faltaria que salga uno, que tambien tengamos que declarar lo que comemos, lo que compramos, etc etc.

    Hay que ser muy dormido (por no decir otra cosa), para darse cuenta, que hay cosas que salen de lo comun.

    No me importa la politica, te aviso, pero cada vez estamos mas controlados, y te puedo seguir poniendo mas ejemplos, " de paranoico que soy"

    ResponderBorrar
  8. dios mio cuanta gente al pedo!!!

    yo agradezco al SUBE por que se acabaron los problemas de monedas... claro ahora nadie se acuerda cuando era un quilombo viajar.

    y no es ironico que tengan el link a la ley de proteccion de datos personales (DNPDP) si te molestaste en apretar el link te vas a dar cuenta que ese link lo tienen las empresas que cumplen con la ley.

    en la pag no hay forma de asociar tarjeta con personas... si te roban la billetera das de baja la tarjeta y listo no se puede consultar donde viajas

    y si estas tan frek paranoico pedi que te saquen de la base de consulta

    pero no le rompas las pelotas a los que usamos el sistema que a mi me viene barbaro como comprobante para el trabajo la pag del sube

    segui el link de tu posteo por que pense que era algo interesante pero la verdad me defraudo el articulo

    ResponderBorrar
  9. si, estamos todos controlados por todos lados, pero se trata de minimizar riesgos, de cuidar nuestros datos personales, uno nunca sabe cuando puede ser victima de robo de identidad, cuando no puedas irte de vacaciones al exterior y/o te lleguen deudas a tu casa que no hiciste, ahi vas a pensar en cuidar un poco mas tus datos personales, la seguridad empieza por uno mismo. saludos!

    ResponderBorrar
  10. Todo es muy triste..
    Buscás en Google Images "tarjeta sube" y encontrás mucha gente que muestra muy contenta su tarjeta.. enseñando a todos el número..

    Alguien tiene que hacer algo con toda la seguridad que se pierde en estos casos

    ResponderBorrar
  11. no voy a discutir sobre las tarjetas, de hecho yo lo escuché al secretario de transporte diciendo que sabiendo quién viaja para donde y cuándo tan a podér "mejorar el servicio" y me dió miedo. Pero te voy a decir algo a VOS sobre lo que VOS sos responsable.

    Al poner el botón "like" de facebook, le estas dando a facebook datos de navegación de todos tus lectores.

    ResponderBorrar
  12. Lacrymology, si deseas puedes enviarme por privado (form de contacto) la información que los usuarios (no logueados) de FB pueden perder.
    Seria interesante conocer esa info para poder filtrarla y considerar si es necesario utilizar FB o no en nuestro blog.

    Cristian

    ResponderBorrar
  13. No, son los usuarios logueados, el problema. No se qué se hace cuando no hay cookie de facebook en el navegador, supongo que se le pasa la IP, pero por más que yo tenga cuenta de facebook, no me interesa que ellos anden sabiendo por dónde navego, y lo único que digo es que un sitio que se preocupa por la confidencialidad de sus lectores simplemente no deberia tener el botón de "me gusta", al menos no uno de los "default" que andan en un iframe que le mandan el cookie a facebook hagas o no click en él. El botón estático de sharear no tiene ese problema (y bueno, si lo compartís en facebook es bastante obavio que se van a enterar)

    ResponderBorrar
  14. http://www.crazyengineers.com/facebook-logout-is-not-logging-you-out-1043/

    ResponderBorrar
  15. Lacrymology, la noticia de las cookies de FB nosotros la publicamos ni bien salio y FB modifico su uso.
    Por otro lado, por tu preocupación de que FB no te rastree, siendo así deberíamos cerrar todo Internet e irnos a dormir, incluso tu deberías cerrar tu blog en blogger, en el cual Google tb trackea cada acción.
    Cuando usamos Internet cedemos derechos pero por otro lado una cosa es que los datos estén grabados (siempre lo están) y otra cosa es acceder públicamente como en el caso de Sube y Monedero.

    Cristian

    ResponderBorrar
  16. La nota tiene una actualizacion al final, del mismo autor, que merece cambiar el tono de la misma.
    La nota entera me parece un acto de paranoia lleno de falsedad, ya que el enlace al cual apunta la presunta falla, no funciona como se dice en esta nota.
    Una tremenda ridiculez.

    ResponderBorrar
  17. Anonimo,

    Sería bueno que te informes antes de hablar.
    Las capturas de pantalla están para demostrar lo dicho.
    El funcionamiento de ambios sitios cambio y mejoró luego de nuestro artículo, lo cual prueba por sí mismo todo lo dicho.

    Cristian

    ResponderBorrar
  18. Me gustaría comentar el ejemplo de una empresa de transporte en Moreno que sacó su propia tarjeta prepaga, donde deja a voluntad del usuario ofrecer sus datos para recuperar el credito almacenado en caso de robo o extravío. Me hubiera gustado que el SUBE ofreciera esta alternativa.

    Rodolfo

    ResponderBorrar
  19. De acuerdo con redolfo...

    ResponderBorrar
  20. Primero, si me roban la billetera con DNI y tarjetas varias lo ultimo que me preocupa es que sepan mi nro de SUBE.
    Segundo, aun si saben mis rutinas de viaje anda a encontrarme entre todos los que viajan en hora pico en subte, colectivo o tren.
    Tercero, los que usamos subte, colectivo o tren somos los objetos de delito menos apetecibles. Si quieren sacar dinero tienen que ir por los que se tienen movilidad propia de alta gama.
    Cuarto: el unico riesgo que tiene la SUBE y que si me preocupa mucho es que mi pareja circunstancial pueda acceder a mis viajes, por ejemplo si hago los mismos viajes todos los días pero una vez a la semana realizo **una visita** cuyo conocimiento por mi mujer fuera inconveniente, los piratas deben saber que la información esta allí, para así decidir libremente si para ese viaje pagan en efectivo, caminan, o toman un taxi.
    Para los paranoicos sepan que gracias a la red celular no solo se puede ubicar una persona sino rastrear sus movimientos. Miren el caso del asesinato de la maestra, se supo donde estuvo el marido en cada momento y no solo eso, gracias a esa informacion se busco en las filmaciones de las camaras de seguridad y se le dio una imagen al recorrido.

    ResponderBorrar
  21. Me robaron la billetera donde estaba la SUBE y el celular, será posible rastrear el uso de la tarjeta para buscar a los ladrones?

    ResponderBorrar
  22. Anónimo, si te robaron la SUBE debes denunciarlo en: www.sube.gov.ar ó 0810-777-SUBE(7823)

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!