elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Grave error en el web del Ministerio de Vivienda daba acceso a datos personales
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Grave error en el web del Ministerio de Vivienda daba acceso a datos personales  (Leído 2,046 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Grave error en el web del Ministerio de Vivienda daba acceso a datos personales
« en: 19 Mayo 2010, 17:56 pm »

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

 El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

 Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

 En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

 De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía aceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

 El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

 Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.

 Un gran riesgo
 


Según Alonso Vidales Miguélez, que informó de esta vulnerabilidad, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.

 Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".

 Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".

 En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.

 El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.

FUENTE :http://www.elmundo.es/elmundo/2010/05/19/navegante/1274273564.html




En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
La Muertع Blancα


Desconectado Desconectado

Mensajes: 424


http://linuxycuriosidades.tk/


Ver Perfil WWW
Re: Grave error en el web del Ministerio de Vivienda daba acceso a datos personales
« Respuesta #1 en: 19 Mayo 2010, 17:58 pm »

El gobierno debe controlar la seguridad de sus páginas  :rolleyes:


En línea

iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Grave error en el web del Ministerio de Vivienda daba acceso a datos personales
« Respuesta #2 en: 19 Mayo 2010, 21:26 pm »

El gobierno debe controlar la seguridad de sus páginas  :rolleyes:

eso va a pasar cuando lluevan vacas del cielo
En línea

SuXoR

Desconectado Desconectado

Mensajes: 177


Ver Perfil
Re: Grave error en el web del Ministerio de Vivienda daba acceso a datos personales
« Respuesta #3 en: 20 Mayo 2010, 08:44 am »


La verdad es que por la descripción que dan de la pagina web los que la hicieron se lucieron.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines