Un grave error en el web de Ministerio de Vivienda daba acceso a datos personales

#2   Venga... a ver cuantos comentarios de "Esto con el Colegio no pasaba"

#3   Si no paga ningún organismo público el certificado para https, de que os vais a extrañar...

#4   ¿Existe un ministerio de la vivienda? Nunca me lo hubiera imaginado...

#5   #2, pues sí, los proyectos de la administración deberían ir visados. Como deberían tener garantizado el tema de la accesibilidad, la validación W3C, etc...

#6   Hoy la Administración se está cubriendo de gloria con estos temas: www.meneame.net/story/web-dgt-permite-conocer-sancionados-multas-trafi

#7   #3, la página de Hacienda tiene varios servidores con certificados self signed y/o imposibles de validar...

#8   #1 Lo que deberían hacer es cancelar el contrato de la empresa encargada de hacer la página, y pedirle daños y perjuicios.
Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.
No tiene que ver una cosa con otra.
En este caso el responsable es el programador de la página, no el Ministerio.
Otra cosa es que pensemos que tal y como van las cosas, este ministerio tenga razón de ser, pero ese es otro tema.

#9   Ahora entiendo por que no me fian los cubatas...

#10   #3 Cualquier certificado SSL es igual de seguro que uno de pago. Incluso los auto-firmados.

Únicamente, que para cada "empresa" que los firme, se debe instalar el certificado de Raiz (CA) en el navegador, lo que ocurre esque los de pago (Verisign, RapidSSL, Tawte...) dan una garantía (una responsabilidad) y los navegadores ya incluyen los certificados de raíz.

Lo que deberían hacer, esque la FNMT firme esos certificados y que los navegadores incluyan el certificado Raíz de la FNMT que sirva tanto para webs como DGT, Hacienda, Vivienda, Educación... como para el DNIe.

#11   Parece el Ministerio de la Videncia

#12   Al fin llegó el día: un verdadero ERROR INFORMÁTICO de un informático y no la ineptitud del periodista y currito de turno.

#13   ¿Sabe alguien los multazos que está metiendo la APD por este tipo de cosas? Claro que un fallo de estos en una empresa, se lo comen los socios y los empleados si no hay dinero, en un ministerio se lo come el pueblo español mientras los responsables se van de little roses.

www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/in

#14   La caché de Google (por si alguno quiere cotillear el código fuente): webcache.googleusercontent.com/search?q=cache:MdIC5sM_eKwJ:rbe.viviend

Me gusta lo poner un formulario distinto para cada botón de selección del idioma. ¿Esto quien lo ha hecho?

Y supongo que la vulnerabilidad pasaría por algo tan tonto como llamar directamente action (info.do) cambiando el campo hidden con el identificador (¿DNI?). Triste.

#15   #8 No funciona si la empresa es egipcia

#16   tanto que nos dan por saco con la ley de protección de datos y ahora meten la gamba. pero claro no creo que les sancionen...

#17   Que los denuncien a Protección de Datos, que por ser un Ministerio no se les puede exculpar por su incompetencia.

#18   #1 Por mi pueden empezar ya también a suprimirlo, unos €uros que nos ahorramos.

#19   ¿Como va a el tema? Eso nos pasa a cualquiera de los mortales y la AEPD viene con el cuchillo de combate a rajarnos pero si le pasa al gobierno aqui no pasa nada

Que se vayan a tomar por culo

#20   #14 Todo un ejemplo de las buenas prácticas de programación y diseño.

#21   #20 Otra joyita:
<h1><b style="color:black;background-color:#ffff66">RBE</b></h1>

#22   El sitio web del Ministerio de la Vivienda que es esto..

#23   Hola,
Soy el que ha descubierto la vulnerabilidad. El error era tan lamentable como sustituir empleando en este caso FireBug (pero vamos se podía con JavaScritp, empleando un formulario en local, un script en PHP que descargase todo uno a uno modificando el campo, etc). El valor en un input hidden.
Para los links internos se empleaba un formulario con varios campos hidden que se enviaba como POST se abre el FireBug, se localizan los input hidden con nombre beIdentificador, y rcIdentificador, y se cambia el valor, luego le das a enviar, y fuera.
Para evitarlo símplemente habría que verificar el que estos campos pertenezcan al usuario logueado, o mantener la persistencia en la sesión de otra forma no tan lamentable. Pero es demasiado trabajo según parece.
He colgado una captura del código en el FireBug en: tras2-desarrollos.es/rbe.png

Un saludo.

#24   Hola, soy Santi, el que hizo la web...

#25   #23 ¿Santi?

#27   Que se localice al ingeniero informático que firmó el proyecto y se depuren responsabilidades... ah no...

#28   #8 En este caso el responsable es el programador de la página, no el Ministerio.

perdona pero el culpable en todo caso es la empresa, no el trabajador.

Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.

pues por eso mismo, la culpa sería de la marca, no del mecánico que ensambló el motor por decir algo. y ya puestos y desconociendo exactamente el caso, podría hasta decirse que la culpa podría estar hasta en el servidor (configuración) donde estuviera alojada la web por aceptar cierto tipo de urls etc etc y etc... a saber!

solo una cosa está clara: la culpa no es del programador = trabajador.

#29   #10 No es igual de seguro, un certificado autofirmado hace que los accesos a la web puedan ser redireccionados a otro servidor sin que nadie se de cuenta. Vamos, que si tengo un servidor DNS y redirijo agenciatributaria.es al servidor de mi casa, todos los que accedan a la agencia tributaria resolviendo el dominio en mi DNS se comen con patatas el certificado que acabo de generarme, ya que están acostumbrados a que el del servidor real dé el mismo error.

Por otra parte, no es viable que cada país emita sus CA, ¿tendríamos que tener todos instalados los de todos los países del mundo? Yo creo que los debería emitir la unión europea, por ejemplo.

#30   #28 Perdona, pero una cosa es que la empresa tenga que responder por los actos de sus empleados, y otra que el empleado no tenga ninguna culpa.
Ha programado la página el trabajador, no la empresa.
Que responda la empresa X, no exime que el trabajador Y se irá a la calle por la cagada.

#31   #30 Pues sí. Parece que por el hecho de ser "trabajadores" las personas no tienen responsabilidad de sus actos.

Lo que tengo duda es cómo se actuará en este caso. A ver, si las administraciones meten la pata en Protección de Datos, no reciben sanción económica; las empresas sí. ¿Y si es una web de un organismo público hecha por una empresa? Ni idea...

#32   #27 Qué razón tienes, aquí no ha pasado ni media, puesto que los informáticos no tenemos colegio porque las autoridades no lo consideran una ingeniería como las otras.

Si nos tenemos que aguantar nosotros con el intrusismo laboral de gente con otros estudios, se tienen ahora ellos que aguantar con gente que hace webs con el dreamweaver.

Y que conste que echando un vistazo al código de la página, considero que es una auténtica chapuza tras otra.

#33   Eso sin contar con que la página, por mucho que hablen de empresa, lo mismo la ha hecho el típico primo/sobrino que sabe de ordenadores, de algún jefazo. Total, si aquí cualquiera sabe hacer webs, es algo facilísimo que no requiere de análisis de seguridad ni nada...

#34   Ahora van a cambiarlo de nombre será el de misterio de la vivienda.

#35   #8 No, la culpa es del trabajador, pero la responsabilidad es de la empresa. Son conceptos distintos culpa y responsabilidad.

#36   No me pagan desde Noviembre... Dicen que tengo incidencias con la Agencia Tributaria, pero es mentira, yo tengo todas mis cuentas al corriente con la Ag.Trib.

#37   #10 Eso no es posible porque el DNIe no lo certifica la FNMT (que sería lo lógico, porque a efectos prácticos es igual que el certificado digital) sino la Dirección General de la Policía.