Benvingut a la pàgina web oficial de la associació RTA


Asociación Representativa de los Taxistas Autónomos

Contacto: Dirección/Adreça electrónica
 

Bienvenidos al futuro, bienvenidos al 2018 

Nuevo año, apostamos por convencer a la ciudadanía de que el futuro sigue siendo el taxi, arrancamos el año con un nuevo proyecto del que pornto os hablaremos, que ratificará al taxi como el medio preferido para el sector del transporte SP
Muchas ganas y empeño
Sunday, January 07, 2018 1:33:00 PM

Votar 21 D por la constitucionalidad. Ir a votar. Por nuestro futuro y el de nuesto pais, España 

Desde la Asociación RTA llamamos a todos los taxistas a que mañana 21 de Diciembre del 2017 votéis.

Desde la RTA apoyamos los valores de la constitución, la unión, la pátria, el buen ser, la convivencia y el querer. Pero repudiamos toda clase de división, no queremos gente que hable en nombre de todos cuando sólo hablan en nombre de unos pocos. Creemos en que debemos seguir siendo lo que somos, taxistas honrados y correctos, de la comunidad Autonómica de Cataluña, de nuestro país España.

Votéis a Ciudadanos, a PSOE o a PP, votad, Arriba España y Arriba el Taxi !

 

 

 

Wednesday, December 20, 2017 7:43:00 PM

INMERSIÓN EN SISTEMA DE CABIFY, PARTE 2.2 - CREANDO USUARIOS DE CABIFY VIRTUALES 

Hola chicos, os dejamos la tercera parte de "Hackea a los Califas" en donde esta vez el hacker anónimo muestra como crea cuentas de usuario falsas. De 10mil a algo más de 100mil usuarios virtuales (falsos) por día. Nos comenta que podrá ser usado para lanzar servicios falsos.

También nos ha concluido que tras el primer y segundo hackeo los califas se han puesto un poco las pilas, y ahora por ejemplo detectan si se usa ubicacion simulada y en tal caso no te dejan avanzar, con un mensaje que dice "no se soporta la ubicación emulada"


Pero este chico (que no es un hacker de profesión, sino que nos ayuda en la causa justa) aclara que esta última barrera es de aplicación sólo a la nueva versión de la app que los califas han sacado tras el primer y segundo asalto de la semana pasada. Todos aquellos que tengan la versión anterior dicha proteccion no esta aplicada. Podeis bajaros la anterior version de cabify sin proteccion desde este enlace: 
http://www.rta.cat/f/externos/tools/cabify-6-3-9.apk
Antes de instalarla debeis ir a googleplay/ajustes/actualizaciones y desactivar las actualizaciones automaticas, de esta forma podreis usar la anterior version para dar por el comino a esta pandilla de usureros y competencia desleal.

 

Cómo crear usuarios ?

fácil, a traves de la emulación. No os vamos a explicar como pues ya estamos entrando en terreno peligroso y desde la RTA no queremos causar ningún daño, sólo apostamos a por los que como los taxistas, cumplen la ley.

 

A continuación os dejamos video de como el hacker crea cuentas automáticamente, usando emuladores, una base de datos de la que saca nombres y apellidos aleatorios y un programa que ha hecho mediante el cual todo se automatiza 

 

 
Fijaros como en poco más de 1 minuto crea 10 cuentas virtuales, haced números, salen a 600 cuentas en una hora, salen a 24 * 600 = 14.400 cuentas creadas con un PC por día.
 
Nos comenta que hizo funcionar hasta 10 máquinas virtuales por una máquina real, cada una de ellas corriendo los 5 emuladores Android que habéis visto en el video, ello supone que en una semana ha conseguido crear la cifra de 1.008.000 cuentas. Más de 1 Millón de cuentas supone, nos comenta el hacker (compurer-recorder-monitor-order-abeilt como suele decir)  que los servicios de Cabify se saturarán en horas punta a partir de a lo largo de esta semana.
 
A esperar toca, de momento esperamos disfruteis con el vídeo, y recordad que esto de haclear chicos es algo que no debéis hacer, lo que hay que hacer es ir en contra de MyTaxi, De Cabify y de todos aquellos que hacen competencia desleal.
 
 
Buen servicio, a vestir bien, a tratar bien a nuestros clientes, y a enseñar a los de MyerdaTaxi que están haciendo daño y que abandonen el sistema MyTaxi, que como sabéis últimamente está lleno solo de pakis.
 
 
 
 
 
 
 
 
Monday, December 11, 2017 7:25:00 PM

Inmersión en sistema de cabify, parte 2.1 - Creando usuarios de cabify virtuales 

Buenas chicos, la persona que nos facilitó el texto del anterior post de la RTA, continua el empeño,a continuación su nueva actualización:
 
 
 
Hola gente, a continuación indico lo fácil que es generar digamos 100 o 1000 personas de forma aleatoria, o sea virtuales, para,a través de emulación android bajo computadora, crear cuentas en el sistema del califato.
 
 
PARTE 2.1 : USUARIOS VIRTUALES
 
PASO 1: GENERAR BASE DE DATOS DE USUARIOS VIRTUALES
 
A) Buscar por internet archivos de nombres y apellidos, generar archivos
B) Crear app que parsee los nombres y apellidos y genere Nombres completos al azar
 
Nota: Aunque los muy poco ingenieros de teleco de Cabifas, me refiero al que haya hecho la app, tiene poco conocimiento de seguridad pues no comprueba por algoritmo los DNI's, lo suyo es crear números aleatorios de DNI's (la letra se comprueba según la combinación numérica).
Mas que nada por si mas adelante deciden poner simple función para comprobar nums de DNI's (cosa que ya tardan).
 
Para los números de teléfono basta con usar randoms que empiezen por digamos por 630100100 y 649999899
 
 

 
 
 
Como véis en el código fuente de la imagen de arriba, al final nos conectamos a una base de datos (yo uso MSSQL Server que se puede usar en un ordenador con windows) e insertamos los datos.
A continuación os muestro captura de pantalla de la base de datos con los usuarios virtyales que se acaban de generar
 

 
 
 
 
Como veis, para el email use simplemente los 2 primeros caracteres del nombre y los 3 del apellido seguido de arroba gmail.
 
 
Bueno, dejo para mas adelante la parte 2.2 que será aquella en la que debamos programar sistema autómata para que vaya creando las cuentas virtuales en el sistema califa con los datos que usuarios virtuales que hemos generado hoy
 
Como lo haremos ? usaremos la emulación, como siempre con ciertas medidas de seguridad, sobre todo aquellas que conciercen a que no detecten nuestra ubicación, ni de GPS ni de IP.
 
Fijaros que la siguiente web me dice que estoy en madrid y va a ser que no, prbar vosotros a entrar a www.myip.es y vereis que os dice donde estáis
 

 
 
 
A continuación captura de ordenador corriendo varias instancias de teléfonos android virtuales  (si, no són físicos, pero lo emulan que cabify no lo tiene en cuenta y pasa) . Si es que si me contratasen como Jefe de Seguridad o Programador no tendrían casi ninguna falla,
 
 

 
 
Feliz día taxistas
 
NOTA: Esto lo hago con fines educativos, para que aprendais un poco de informática
 
 
Y acordaros de meter la bulla a todos aquellos que usen MyTaxi, que como sabeis, vam haciendo descuentos de hasta el 50% a usuarios, para captarlos y una vez captados muchos ya no vuelven a levantar la mano a los taxis de la calle, sólo a los putas delmytaxi, que aunque el taxista de MyerdaTAxi cobre el 100% de la carrera, el usuario no ha pagado el 100% de la carrera, pues MyerdaTaxi pone una parte para pagar el dto al usuario, que lo saca de los 1 euros mas iva que chupa al taxista por cada servicio, en fin toda una super competencia desleal que no se como no le poneis freno vosotros los taxistas correctos de toda la vida.
 
 
 
Tuesday, December 05, 2017 11:03:00 AM

Inmersión en sistema de cabify, parte 1 

 

Hola a todos, amigos taxist@s, a continuación publicamos la información facilitada por una persona ajena a la asociación, que creemos de vuestro interés.
 
A continuación su texto:
 
Amigos, este es un procedimiento que estoy realizando para ayudaros, a vosotros la comunidad de taxistas que durante tantos años habéis y seguiréis sirviendo al país,. no sólo con vuestros impuestos, sino también con vuestra gran labor y profesión.
 
La presente es una introducción al sistema usado por calidfy, medianet el cual os enseñaré como podéis hacer para obtener información vital tal como posición de los conductores de calify, que creo que os será útil para poder denunciarlos, pues sabéis que la normativa VTC indica que los coches debes estar estacionados en las bases, y además nunca en las inmediaciones de aeropuertos etc..
 

enlace ampliado fullscreen: AQUI-LINO (haha)
No sólo os vboy a facilitar como podéis extraer dicha información, sino que además os pondré ejemplos útiles.
 
Que sepáis que también se pueden hacer muchas cosas recurriendo a la ingeniería inversa, con objeto de que esos cerdos ilegales de califly, dejen de entorpecer vuestra labor.
 
Lo único que me gustaría pediros es que vistáseis un poco mejor, no con americana, pero si mejor, creo que no estaría mal que usáseis uniforme.
 
 
PARTE 1: RASTREANDO A CABIFY
 
 
PASO NUM 1 : INSTALAR APP para husmear lo que hace cualquier otra app
 
En un smartphone Android descargar app: Packet Capture 
 
Abrir la app, click en siguiente ok hasta que veas la opción de instalar certificado, decir que si, entonces te pide que debes configurar bloqueo de seguridad, hacedlo con contraseña, definir contraseña con 1 caracter y números, ej: a1234 luego ok, volveis, siguiente y listo, cerrar el app Pocket capture
 
 
 
PASO NUM 2: INSTALAR CABIFY
 
Ahora os instalais Cabify también desde google play, pero no la abráis.
 
NOTA Deciros que la seguridad no la tienen del todo bien controlada los de cabify, a pesar de que lo suyo sería instalar la app sin google play, no pasa nada, lo que puede ser que si deshabilitais servicios de google play, puede que entonces cabify tenga retsringido el uso a internet y no funcione cuando este al mismo tiempo el rastreador app anterior funcionando.
 
Seguridad de momento mala en cabify, no hacen apenas controles, claro que no se pueden pasar agobiando al usuario
 
sigamos
 
 
PASO NUM 3 RECOMENDADO: DESHABILITAR TODAS LAS APPS
 
Esto es recomendable porque si no deshabilitamos digamos el wasap, youtube etc.., el rastreador también rastreará las conexiones de inetrnet de esos programas y luego tendremos una lista enorme que será demasiado lío,asi que deshabilitadlas, luego ya las volveréis a activar, todas todas las apps, salvo servicios de google play, y packet capture
 
PASO NUM 4 OPCIONAL : Usar Fake GPS
Si instalais Fake GPS y lo configurais bien, vereis que vuestro smartphone reportara otra ubicación distinta a barcelona o a donde estéis, lo bueno es que puedes decir a fake gps que diga que estás en Madrid. RECOMENDADO !
Una vez lo abráis seguiis las instrucciones, dale a ok, luego en settings del desarrollador selecciones Fake GPS como proveedor de pruebas de señal GPS. 
En Fake GPS por ejemplo te ubicas con el puntero en MAdrid
IMPORTANTE: Compruebas usando google maps (y reiniciandolo) que te muestre que estás en Madrid.  Nota: Debes activar el icono ubicación / gps en la parte superior del teléfono vamos.
enlace: https://play.google.com/store/apps/details?id=com.lexa.fakegps&hl=es
 
 
 
PASO NUM 5: INMERSION Y PRIMEROS RASTROS
 
Abrimos Packet Capture y le damos al icono Play en verde de arriba a la derecha, acto seguido volvemos a la pantalla principal de Android sin cerrar el app, y abrimos el app cabify, no hacemos nada, lo dejamos abierto unos 12 o 20 segundos, cerramos el cabify, volvemos a Packet Capture y le picamos al icono que ahora sale tipo Stop.
 
Picamos sobre la carpeta creada, que seier de tipo unos números seguido de la hora y veremos varios ficheros, nos interesan los que tienen el icono de cabify, hay varios.
 
En mi caso y para hacer mejor las pruebas , lo testee tanto con wifi, como con internet móvil sin wifi, estos son los resultados.
 
Podeis descargar los ficheros de texto con las conexiones realizadas por la app cabify a internet desde este archivo .zip (descomprimiis y vereis los archivos .txt, los que empiezan por w fueron los primeros con wifi, los que empiezan con m se hicieron con internet móvil sin wifi
 
http://www.rta.cat/f/externos/h01.zip
 
 
5.1.00 Se obtiene identificador token (WIFI) Se consulta a: app.adjust.com
 
Lo primero que hace el app una vez se instala es recibir un valor a la variable "adid", casi todo lo que acba en id o ID suele ser Identificador, todavía no se para que puede ser pero lo guardo
 
"app_token":"b32kpmkub5kw"
adid: cb822854be6799efa245e698715d3cde
tracker_token: fid24v
 
estos valores consultaremos cuando se pasan luego más tarde y sei se pasan, por la app para recibir según que datos, o para mandar ejecutar ciertas ordenes
 
Notese que si abriis cualquier navegador y entrais a la web de consulta, mofiificando algún parametro no vaya a ser que detecten alguna actividad sospechosa, vereis que se nos devuelve un mensaje que claramenbte nos indica que se paso algun parametro mal para el token, por que ? porque hamoes modificaod la consulta, cambiado alguna letra
 
Imágenes integradas 2
 
 
El tokken de la app, no es recibido por internet asi que supongo que lo autocrea, pues en la primera consulta a internet se pasa dicho app_token para recibir el adid y el tracker_token, no os lieis
 
5.1.01  (WIFI) Se consulta a url: dev.appboy.com
 
No se pasa ningún valor de las variables anteriores de identificación, appboy.com redirige a braze.com por lo que deduzco que se trata de alguna api o utilidad herramnienta de tercera empresa usada por califly para todavía no se que
 
 
Imágenes integradas 4
 
 
Me da una serie de datos que ahora no vienen al caso
 
5.1.xxxx
 
Ahora no voy a investigar uno por uno porque requiere tiempo, con mas tiempo lo haré al igual
 
5.2.1 (INTERNET MOVIL)
 
Las conexiones con internet móvil creo que no se diferencian mucho, si abriis y comparais el archivo w01.txt del zip (w=wifi) al del m01.txt (m=datos Moviles sin wifi) vereis que apenas hay diferencias
 
 
 

 
 
 
 
 
..Bueno hay muchos más ficheros que hay que estudiar, ya asi de primeras sin haber todavía más que abierto la app, sin siquiera haber creado usuario o sin habernos logoneado
 
resumen:
 
WIFI: 
 
0 app.adjust.com
1 dev.appboy.com (braze,herrramienta de terceros)
3 - 4 app.adjust.com
5 google maps (mapa)
6: api.amplitude.com (estadísticas)
7: api.cabify.com
8: vacio
9: e.crashlytics.com
10: d37gvrvc0wt4s1.cloudfront.net que va a roolbar.com que viene a ser creo que para el mismo objeto que el w09
11: vacio
12: =10
13: =9
14-15: =1
 
 
 
INTERNET MOBIL
 
1: = w1
2: google maps pero estatico, para ahorrar datos, eso está bien
3-6: api de google maps pero para riedrs, o sea viajeros
7: vacio
8: amplitude
9-10: API CABIFY <-- o sea a donde se conecta de internet el app para mandar o recibir datos
11-13: cloudfront
14: crashlitics
15-16: appboy
 
 
 
PRIMERAS OBSERVACIONES
 
 
Tenemos que el servidor o servidores (si hay redundancia todavóa no lo investigué) de Cabify  están basados en Linux, servidor web nginx, vamos que ya esta claro que no pagan a microsoft ni un euro para ser mas ratas todavía, aunque bueno ahora no voy a discutar las ventajaas o inconvenientes que tienen ambos sistemas.
 
Muy mal, mucho ingenbiero de telecomunicaciones el de cabify, pero no para de usar herramienats de terceros, algo de lo que no tienes control, pero buieno, hace que dependas de menos personasl technico, menos resources, asi abaratas costes y producto, cerdos ! porque menos trabajo y mas precario
fijaros que la conexion 9a wifi se conecta a crashlitics ue el nombre ya lo dice todo, api para reportar errores y demás, una mierda a mi juicio es mejor usar check points try catch en todas las partes del código de uno mismo..
 
 
CONCLUSIONES Y CODIGO PARA OBTENER UBICACION DE LOS CONDUCTORES DE CABIFY PARA PODER DENUNCIARLOS 
 
Como primera conclusión obtengo que creo al >80% por ciento que se puede hackear sin demasiadas complicaciones a cabify, pero ahora no es momento de ello.
Más adelante os pasaré para que veáis como se llega a la conexión en la que obtienes los conductores, para ello antes hay que registrarse como usuario en la app de cabify, pero eso lo dejamos para otro capítulo, eso ya lo hize, y obtuve la siguiente url
 
URL POSICIONES DE CONDUCTORES DE CABIFY: cabify.com/api/taxis/available?loc=lat%2Cmon
 
como veis en la url ni siquiera pasan token alguno de app o usuario id, muy mal, mal programado o seguridad no muy acometida, si pasaran por ejemplo user_id, podrian no mostrar la ubicación del mapa mas que a aquellos usuarios registrados (y no baneados por ejemplo) pero de momento lo tienen todo muy abierto
 
en la url anterior debeis sustituir lat y lon por los valores latitus y longitud
 
ej: Terminal T2 de Aeropuerto de Barcelona: 41.302360, 2.073829 o sea 
 
 
Terminal T1 de Aeropuerto de Barcelona: 41.289204, 2.072634 o sea 
 
 
En el ejemplo de la T2, para hoy Sábado 3 de diciembre del 2017, en las cercanias se obtiene que hay 77 conductores y autos de cabify cercanos al aeropuerto, y me parece poco creible que esten 77 tipos dejando pasaje, o están a la espera para recojer ?? y eso es ilegal
 
Fijémonos en el código devuelto por el propio cabify, en donde se nos da la información de los coches de cabify
 
 
 

 
 
 
 
 
Tenemos los siguientes datos:
 
IDentificador único del conductor
Distancia al aeropuerto; fijaros que están todos a poco más de 1 km: Ordenados por distancia y en metros: 1075, 1521, 1528 , etc..
Posición exacta: [latitud.longitud]
 
Así pues con estos datos, cualquier programador con un pelín de experiencia puede programar una web en java para mostrar mapa google con la posicion de sus coches, algo que ello claro está que no lo hacen , ni en su app, para prevenir que les descubran , pero algo que ahora es dejo aquí, para que podais actuar y denunciar. Más cosas se pueden hacer contra la ilegalidad de estos y muchos otros como por ejemplo los que practican la competencia desleal, léase myerdaTaxi, todo ello más tarde, a continuación mapa en tiempo real de ubicación de califlies en el aeropuerto de Barcelona y de Madrid
 
Caña !!
 
 
URL DONDE PODER DIVISAR A LOS CALIFAS: 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

Sunday, December 03, 2017 11:17:00 AM
Page 1 of 15 1 2 3 4 5 6 7 8 9 10 > >>