EDICIóN GENERAL

El juez cita como investigado al denunciante del agujero de seguridad en la 'app' de Metrovalencia

#7 lo verías si no es SSL ( a menos que hagas un man in the middle con mitmproxy o similar ) . Lo que mas me flipa de este tema es que hizo una comunicación de la vulnerabilidad responsable y aún asi quieren empurarle en vez de darle una recompensa en bug bounty.
O se creen que los abogados les van ayudar cuando un chino loco les robe los datos o les funda el sistema?

Que alguien te audite el código y te enseñe los "agujeros" de tu sistema para que los parchees y lo haga de forma responsable es de agradecer . Lo que pasa que a la empresa que hizo la aplicación y a MetroValencia no les gusta que les pinten la cara.
#11 Y no les gusta que les pinten la cara porque seguramente se pagó un pastizal por la app... Que se fue en cenas, viajes, dinerito para el de la empresa (que no sus trabajadores), sobrecostes, y chanchullos varios
#13 No, desde que cambió la alcaldía ya no funciona así.

Y no es porque los nuevos sean santo de mi devoción, pero sí que conozco dos pymes que han hecho programas para el ayuntamiento y lo han hecho sin sobres ni mordidas. Antes ni se lo planteaban, porque todos sabían que la única forma era llenar un apartamento de putas y coca.
#21 metrovalencia es gestionado por la comunidad, y sí, a nivel de metrovalencia sigue siendo así internamente.
#7 #11 En realidad, si la defensa del denunciante es medianamente buena y el un poco avispado, podrá explicar al juez que el no estaba haciendo nada malo. Que yo sepa no es ilegal decompilar una aplicación. Puede ser ilegal el acceso a los datos ajenos, ser ilegal la redistribución de software y, hasta cierto punto, la modificación de este. Pero no es ilegal decompilar una aplicación para saber que esta haciendo realmente, de la misma manera que no es ilegal abrir el capó de un coche y mirar dentro, o abrir un portátil o un móvil, o una tostadora para ver si te han puesto un micrófono dentro.
A ver el juez si se entera de que va la historia y los abogados hacen bien su labor. Otra cosa es que la persona, previamente haya accedido a datos de otras personas y los acusados tengan pruebas de ello (o que el mismo haya presentado pruebas de ello). En este caso, lo más fácil hubiese sido, mirar que el código de la aplicación tuviese la clave en el código. Fácilmente, demostrable sin que sea algo ilegal (si eso fuese ilegal, creo que casi todas las compañías de seguridad informáticas serían unos delincuentes por decomplilar virus y malware. También podría demostrarlo usando los datos de una conexión de la aplicación instalada en su móvil accediendo a sus datos y de algun amigo/familiar que le autorizase a hacer lo mismo con su móvil.

#8 Si que se puede hacer MiTM en conexiones SSL. Si usan una sola clave para acceso a todos los datos, no creo que se esmerasen en asegurar que la conexión SSL fuese realmente segura.

Esta claro que el juez, ya de primeras y sin pruebas de que el denunciante hubiese accedido a datos de otras personas, no debería ni siquiera aceptado la denuncia. Pero, si han presentado pruebas de que si que lo hizo, pues entonces, no le va a quedar otra que aceptar la condena por acceder a datos que no son suyos.
#15 No hace falta llegar a acceder a datos personales de otras personas. La ley es mucho más vaga:

El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.
#16 vulnerando las medidas de seguridad. Pero compilar no es una medida de seguridad.
#16 la clave de cifrado no es la clave de acceso al servidor, es la clave que se utiliza desde tu dispositivo para intercambiar tus datos con el servidor, no los datos de un tercero, los tuyos.
Que esa clave sea la misma para todos no implica perse que accedas a información de terceros, para ello tienes que acceder a la red del 3o (es decir su wifi o su conexión de datos) e interceptar los paquetes tcp.
#42 Si accedió para demostrarlo, ya está. Quería decir que no es necesario que llegara a acceder a los datos personales de otro. Si se limitó a extraer la clave y no hizo nada con ella, entonces no cometió delito, no.
#16 "a un sistema de información" ahí se referirian al servidor, no a la apk
#15 el problema que va tener es que son términos muy técnicos para un juez, con lo que se basará en los peritajes y si hay algún informe de la policía. Y esos conceptos para un juez le sonarán a chino , por lo que puede ser una lotería. Algún día habrá algún juzgado sólo para los delitos tecnológicos...tiempo al tiempo
#11 Buena descripción. No conozco los detalles del caso, pero asumiendo que el ingeniero eso no estaba robando datos para su interés, me sorprende y mucho lo que están haciendo.

menéame