Índice
Últimas imágenes
Publicaciones
Registrarse
ConectarseUn grave error en el web del Ministerio de Vivienda daba acceso a datos personales
Página 1 de 1.
Un grave error en el web del Ministerio de Vivienda daba acceso a datos personales
por Glam Miér Mayo 19, 2010 8:23 pm
El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.
El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".
Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.
En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.
De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.
Horas después del descubrimiento de este error, el Director de la Agencia de Protección de Datos "ha ordenado la apertura de actuaciones de investigación para determinar si pudiera haber existido una vulneración de la normativa de protección de datos", según informa la propia Agencia.
El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.
Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.
Un gran riesgo
Según Alonso Vidales Miguélez, que informó de esta vulnerabilidad, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.
Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".
Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".
En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.
El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.
El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".
Esta vulnerabilidad, descubierta por Alonso Vidales Miguélez -experto en diseño web y lector del Navegante-, y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.
En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.
De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.
Horas después del descubrimiento de este error, el Director de la Agencia de Protección de Datos "ha ordenado la apertura de actuaciones de investigación para determinar si pudiera haber existido una vulneración de la normativa de protección de datos", según informa la propia Agencia.
El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.
Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.
Un gran riesgo
Según Alonso Vidales Miguélez, que informó de esta vulnerabilidad, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.
Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".
Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".
En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.
El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.
Glam- Admin
- Cantidad de envíos : 18952
Fecha de inscripción : 28/10/2008 -
Temas similares» Anonymous difunde datos personales de partidarios de la ‘ley Sinde’
» BuyVip reconoce que los datos personales de sus clientes se han visto comprometidos
» España tendrá acceso a los datos bancarios de sus contribuyentes en Suiza
» Fallece la defensora de los partos en el hogar mientras daba a luz en su casa
» El Ministerio de Defensa indio estudia a un hombre que asegura llevar 74 años sin comer y beber
» BuyVip reconoce que los datos personales de sus clientes se han visto comprometidos
» España tendrá acceso a los datos bancarios de sus contribuyentes en Suiza
» Fallece la defensora de los partos en el hogar mientras daba a luz en su casa
» El Ministerio de Defensa indio estudia a un hombre que asegura llevar 74 años sin comer y beber
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.