Share this page!

Edin Kapić / Един Капић Profile picture
Twitter logo
5 Oct, 18 tweets, 6 min read
IMPORTANT!

No només de nyaps viu el Facebook. La nostra flamant web de T-Mobilitat, també...

(acompanyeu-me en aquest viatge esgarrifós) 👇
La web de T-Mobilitat està en proves. Avui m'he registrat per a obtenir la targeta i provar allò que altres ciutats del món fa 10 anys que tenen

t-mobilitat.atm.cat
A part de la deficient usabilitat de la UI, tot bé. M'he pogut registrar, activar el compte i demanar la targeta física. Molt bé. Mail de benvinguda de T-mobilitat
@vestorach ha intentat fer el mateix. Aquesta vegada, una vegada validat l'usuari, ella no podia accedir a la web privada. Sempre sortia la "home". Pantalla de loginLa home de t-mobilitat
Ara resulta que jo tampoc puc tornar a entrar.

El developer dins meu no s'ha aturat. Ni esborrant les cookies. Res. Sempre tornava a la maleïda pàgina d'inici.
Em vaig fixar a la URL de la pantalla breu de login. Enlloc de tenir /web, tenia /c/portal. Hmm...Anem a /c/portal directament....
Hmm...una altra pantalla de login, suggerint el domini @liferay.com. A part de ser mala praxi revelant la tecnologia que hi ha a sota, em permetia provar els diferents usuaris possibles. No hi ha CAPTCHA ni res que pugui limitar els logins. Login del portal de liferay de T-Mobilitat
Anem a provar l'usuari més "cutre" en el món de software. De primer de pentesting.

Hi entra. I com a Administrador. 😮 Menú de administració de Liferay dins de la web T-mobilita
Des d'aqui podria canviar tot el contingut de la web, afegir i esborrar usuaris (només uns 2000+), fer de tot. Pàgina de roles de l'usuari, incloent administrador
La llista d'usuaris (reals, confirmat buscant-los per LinkedIn) Llistat d'usuaris
Davant d'aquest nyap de magnitud gegant, em pregunto qui és el responsable de desenvolupament d'aquesta web. La web de contractació pública no està clara al respecte. contractaciopublica.gencat.cat/ecofin_pscp/Ap…
Sembla que ATM va migrar els seus servidors a Liferay al 2019/2020 i potser la web és creació pròpia. En tot cas l'assesorament durant la migració el van pagar a un expert extern: Linia de Excel de desglossament de despeses
Companys de @StopPujades, teniu més informació sobre el responsable d'aquest nyap? El més recent és aquesta contractació de 2 milions d'euros per a donar "assistencia a l'equip de suport". contractaciopublica.gencat.cat/ecofin_pscp/Ap…
Us demano, @T_mobilitat, @ATMbcn, @TMBinfo.... arregleu això ara mateix!!! És una irresponsabilitat greu deixar l'accès a les dades de manera tan poc segura.
Actualització: han canviat la contrasenya de l'usuari que he utilitzat. Almenys han corregit el forat de seguretat. Analitzaran les causes? 🤔
Per a més informació sobre el nyap descomunal del tot el muntatge de T-Mobilitat, podeu consultar mobilitat.info/t-mobilitat/po…
Actualització 2: no només han canviat la contrasenya de l'usuari, sinó que també han amagat correctament la opció del login de seguretat. Això és el que haurien d'haver fet abans de sortir a producció. Qui va fer l'auditoria de seguretat? Aquest home?
Actualització 3: un nou nyap del sistema de login, no de seguretat però sí d'experiència d'usuari: el login case-sensitive.

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Edin Kapić / Един Капић

Edin Kapić / Един Капић Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @ekapic

Edin Kapić / Един Капић Profile picture
6 Oct
Un nyap nou de la web de T-Mobilitat. En sèrio...jo només vull utilitzar-la. És demanar molt?

Entro el meu usuari i contrasenya. No va. Pantalla de login
Canvio la primera lletra a majúscula, ja que quan em vaig registrar al mòbil, l'autocorrecció ho va posar així.

Entra! En procés de login
Del primer de fer un sistema de credencials: els identificadors d'usuari no són case-sensitive, les contrasenyes sí.

Després del fil d'ahir i això d'avui...m'espero qualsevol cosa ja...@T_mobilitat
Read 4 tweets
Edin Kapić / Един Капић Profile picture
30 Jul
Os quiero explicar una curiosidad histórica de mi país de nacimiento, Bosnia-Herzegovina. Si habéis estado en Croacia de vacaciones, es probable que hayáis cruzado un pueblo pequeño llamado Neum, donde hay que pasar la frontera 2 veces.

(va hilo)
👇
Neum es un pueblo costero en el Adriático, único en Bosnia-Herzegovina. Se sitúa en los 20 km de costa del mar Adriático que tiene el país. Costa de Neum
Si miráis el mapa, veréis que Neum "corta" Croacia en dos partes. La carretera de la costa pasa por Neum así que alguien que vaya de Split a Dubrovnik, por ejemplo, tiene que pasar dos controles fronterizos (al entrar y al salir) Mapa con el corredor de Neum.
Read 15 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

Like this author's thread?

Get emails when @ekapic has new unrolls!

Check out other threads from @ekapic!

Read all threads by @ekapic

:(