ÍndiceÍndice  RegistrarseRegistrarse  ConectarseConectarse  
Siguenos en el nuevo blog del foro, si quieres conocer secretos que muy poca gente sabe....
http://demarsellaabarcelonaupandlowcost.blogspot.com

Comparte | 
 

 Un grave error en el web del Ministerio de Vivienda daba acceso a datos personales

Ver el tema anterior Ver el tema siguiente Ir abajo 
AutorMensaje
Glam
Admin
Admin


Cantidad de envíos : 18861
Fecha de inscripción : 28/10/2008

MensajeTema: Un grave error en el web del Ministerio de Vivienda daba acceso a datos personales   Miér Mayo 19, 2010 8:23 pm

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

Horas después del descubrimiento de este error, el Director de la Agencia de Protección de Datos "ha ordenado la apertura de actuaciones de investigación para determinar si pudiera haber existido una vulneración de la normativa de protección de datos", según informa la propia Agencia.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.
Un gran riesgo

Según Alonso Vidales Miguélez, que informó de esta vulnerabilidad, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.

Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".

Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".

En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.

El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.

_________________

http://es.buyvip.com/MemberInvitation.html?FO2S0741
Ahora si!!! SARKOZYvente a presidir España!!
LIGA ANTI PAJIN

http://demarsellaabarcelonaupandlowcost.blogspot.com
Volver arriba Ir abajo
http://es.buyvip.com/MemberInvitation.html?FO2S0741
 
Un grave error en el web del Ministerio de Vivienda daba acceso a datos personales
Ver el tema anterior Ver el tema siguiente Volver arriba 
Página 1 de 1.
 Temas similares
-
» El Ministerio de Salud ya aplicó implantes dentales gratuitos a 28 pacientes sin obra social
» Anuario Estadistico Ministerio Interior
» Error en los scripts de esta página ¿Desea continuar?....
» Culpan a ex novia por error de portero
» CELEBRAN TRAYECTORIA DE MONSEÑOR CASARETTO EN EL MINISTERIO EPISCOPAL. El 16 de marzo en la Catedral de San Isidro.

Permisos de este foro:No puedes responder a temas en este foro.
 :: HASTA ARRIBA DE FOROS Y SUCEDANEOS :: Noticias y curiosidades-
Cambiar a: