Grave error en el web del Ministerio de Vivienda daba acceso a datos personales

Iniciado por wolfbcn, 19 Mayo 2010, 17:56 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía aceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.

Un gran riesgo



Según Alonso Vidales Miguélez, que informó de esta vulnerabilidad, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.

Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".

Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".

En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.

El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.

FUENTE :http://www.elmundo.es/elmundo/2010/05/19/navegante/1274273564.html


La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.

La Muertع Blancα

iluckycatcher
«lo único necesario para el triunfo del mal es que los buenos no hagan nada», Edmund BurkeLinuxyCuriosidades.tk

WHK

Cita de: La Muerte Blanca en 19 Mayo 2010, 17:58 PM
El gobierno debe controlar la seguridad de sus páginas  :rolleyes:

eso va a pasar cuando lluevan vacas del cielo

SuXoR


La verdad es que por la descripción que dan de la pagina web los que la hicieron se lucieron.