El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.
Este "bug" lo he podido ver desde el principio. No solo a través del DNI, sino que a través del nombre también se podía buscar cualquier persona. Ciertamente no he probado a buscar el nombre de ningún personaje de la Casa Real, pero cualquier otro ciudadano en el sistema de salud madrileño, podía ser localizado con su DNI, nº de teléfono, dirección...
De esto nos dimos cuenta desde el primer día en el laboratorio, pero ni nos sorprendió. Con el COVID se han superado todas las barreras de la LOPD habidas y por haber, así que ya ni nos extrañaba. Muchas empresas reclaman el resultado de la PCR de sus trabajadores, antes incluso, de que se notificase al mismo trabajador. Que si ya de por si, ceder a la empresa resultados médicos de sus trabajadores chirría por todos lados, encima quererlos en primicia resultaba insultante.
Referente a lo descrito en la noticia, asegurar que el portal no fue explotado, supongo que querrá decir que no se puso a ningún bot a probar todos los DNIs y obtener todos los datos posibles. Pero que cualquiera que tuviese acceso buscase a quién le dase la gana, y quedase registrado...
Me resultaría curioso saber si el portal ha sido creado por el personal de la Consejería de Sanidad, o fue subcontratado a alguna empresa privada. Es curioso que no lo mencione la noticia.
- No es código, son datos (json)
- Lo del "father-family" y "mother-family" viene del especificación FHIR (Fast Healthcare Interoperability Resources) https://www.hl7.org/fhir/extension-humanname-mothers-family.html , así que no es achacable a este sistema
- En la forma de partir el nombre y los apellidos ya te doy la Razón... aunque probablemente quién lo metió lo hizo así porque sabía que si ponía "de Borbon" como apellido se indexaba por la "de" en vez de por "Borbon".
#21:
#16 pero al de la sub - sub - sub - sub - sub ....
..
...
....
.....
suncontrata
#28:
Qué manía le tiene Ayuso al Rey. Qué fijación. Que Cersei eres. Mala!!
#55:
#34 ¿Como? ¿Nos ataca un Ángel? ¿Donde está Shinji? ¡Activen el EVA-01!
#72:
#62 Eso fue en la Pérfida Albión. Aquí es inimputable por que a Paca la Culona le pareció buen negocio...
#7:
#6 No. La enviaste unos segundos después y lo sabes
#5:
¿Del titular se desprende que el rey no es una persona?
#24:
#5 Claro q no.
Por algo es inimputable, pq no se rige por las leyes humanas.
#62:
#24 Es inimputable porque una furcia natatoria le tiro una espada
#21 No hombre, ahora con ayuso las cosas se hacen de otra manera. Le habrá dado el contrato directamente al chiringuito de algún amigo, como con el de los hoteles, sin un concurso público decente, por eso las chapuzas. Bueno, igual su amigo es el de algún macrogrupo de los que suelen aparecer en los chanchullos del PP.
Lo que sí es claro, es que a este paso, Felipe "el compiyogui preparao" seguramente se harte pronto de la choni de Ayuso.
#32 Que pregunten en Madrid Digital a cierta subcontrata que empieza por A y es de por ahí del sur. O a esa otra que empieza por E y acostumbran a echar muchas horas extras sin pagar.
Pero intenta cometer un fallo así en la empresa que estoy ahora y en 10 segundos tienes a los marines apuntándote a la cabeza. Esto me suena a la misma cagada que pasó con el Lexnet hace ya bastante.
#73 Lo mismo exactamente, un cambio en un parámetro referente a un expediente (todos los expedientes jurídicos estaban referenciados por un identificador único numérico, creo), cambiando dicho parámetro podías ver la información de cualquier expediente en concreto. Creo que era en un servicio expuesto públicamente a través de una url sin autenticar.
#66 Pues sin pretender ser abogado del diablo pero no me parece correcto que un error así se le achaque a una sola persona, ni en una consultora de las del montón ni en la empresa en la que estas ahora. Debe haber protocolos, procedimientos, etapas... llámalo como quieras. Si sucede es un error en toda la cadena y por tanto un error del conjunto.
Este "bug" lo he podido ver desde el principio. No solo a través del DNI, sino que a través del nombre también se podía buscar cualquier persona. Ciertamente no he probado a buscar el nombre de ningún personaje de la Casa Real, pero cualquier otro ciudadano en el sistema de salud madrileño, podía ser localizado con su DNI, nº de teléfono, dirección...
De esto nos dimos cuenta desde el primer día en el laboratorio, pero ni nos sorprendió. Con el COVID se han superado todas las barreras de la LOPD habidas y por haber, así que ya ni nos extrañaba. Muchas empresas reclaman el resultado de la PCR de sus trabajadores, antes incluso, de que se notificase al mismo trabajador. Que si ya de por si, ceder a la empresa resultados médicos de sus trabajadores chirría por todos lados, encima quererlos en primicia resultaba insultante.
Referente a lo descrito en la noticia, asegurar que el portal no fue explotado, supongo que querrá decir que no se puso a ningún bot a probar todos los DNIs y obtener todos los datos posibles. Pero que cualquiera que tuviese acceso buscase a quién le dase la gana, y quedase registrado...
Me resultaría curioso saber si el portal ha sido creado por el personal de la Consejería de Sanidad, o fue subcontratado a alguna empresa privada. Es curioso que no lo mencione la noticia.
#45 hubo un día, no recuerdo ahora exactamente, que cambiaron los móviles de la base de datos y no podías confirmar tu identidad en la autocita. Lo arreglaron al día siguiente y pudo estar relacionado con alguien que tuviera conocimiento de este fallo de seguridad.
#45 lo de que no ha sido explotado significa que no tienen ni registros de los intentos de acceso, y es por ello que no se puede probar que haya sido explotado.
#13 me parece muy bien, es bastante sencillo mirar cual está una antes que otra y también puedes ver el resto de votos de la comunidad. Es más, ni te he votado negativa para que puedas descartar y no pierdas karma
#39 porque no lo somos, el rey es la encarnacion de la definicion supremacismo; "Ideología que defiende la superioridad de un colectivo frente a los demás por razones étnicas, biológicas, culturales, religiosas o de origen".
De todas formas es entre poco y nada probable que los datos de un rey aparezcan en ese listado, yo diria que lo han metido con calzador para llamar la atencion. Como dice el meme...
Esto es muy extraño, no sólo que sea la Comunidad de Madrid quien afirme que Telemadrid publica un bulo sino que no explica en qué consiste la falsedad:
Da la sensación de que todo lo que es informática en la CAM es una auténtica basura hecha por becarios
El que haya tenido que pedir una beca de infantil online lo sabrá: información inconexa entre páginas, errores aleatorios, firmas digitales que se fuma al subir documentación e imposibilidad de reiniciar el proceso si da fallo
Es la segunda vez que pasa. ¡Es alucinante! ¿No aprenden?
Y tienen la jeta de decir que "La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Insistimos en qué ya está bloqueada"
Sólo han dejado al descubierto los datos relativos de contacto a cada persona y su DNI, los teléfonos y la dirección postal. Maravilloso, una exposición de datos personales. Pero al menos no eran datos sensibles, "podría ser peor".
Por cosas así debería caer una multaza a la empresa que comete esos fallos, y si reinciden, sanciones mayores. Se están tratando datos de cada persona y deberían tratarlos como si les fuese el trabajo en ello. No sé si lo hacen, pero la AEPD o bien no parecía muy activa ante denuncias o bien no era muy comunicativa. Y siendo algo público, no sé yo si harán algo e irán a por el responsable del tratamiento.
Pues nada, una excusa más para contratar a una empresa de fuera para hacerle otro servicio web a la CAM. ¿Se lo llevará informática El Corte inglés? ¿Everis?
Este es uno de los motivos por los que el software desarrollado para la administración pública debería ser libre. Si cualquiera puede revisar el código es más fácil detectar los errores.
Además está pagado por todos, por lo que más motivo para que sea público.
¿Soy el único que se ha puesto a leer el trozo de código que aparece?
No sé qué me parece más cutre, si lode "fathers_family" y "mothers_family" para el primer y segundo apellido, siendo conceptos que desde hace años no existen en España (el primer apellido puede ser paterno o materno)...
O que en el sistema el Rey aparezca registrado con el nombre de "FELIPE DE", como primer apellido "BORBON Y DE", y como segundo apellido "GRECIA".
- No es código, son datos (json)
- Lo del "father-family" y "mother-family" viene del especificación FHIR (Fast Healthcare Interoperability Resources) https://www.hl7.org/fhir/extension-humanname-mothers-family.html , así que no es achacable a este sistema
- En la forma de partir el nombre y los apellidos ya te doy la Razón... aunque probablemente quién lo metió lo hizo así porque sabía que si ponía "de Borbon" como apellido se indexaba por la "de" en vez de por "Borbon".
Comentarios
#16 pero al de la sub - sub - sub - sub - sub ....
..
...
....
.....
suncontrata
#21 No hombre, ahora con ayuso las cosas se hacen de otra manera. Le habrá dado el contrato directamente al chiringuito de algún amigo, como con el de los hoteles, sin un concurso público decente, por eso las chapuzas. Bueno, igual su amigo es el de algún macrogrupo de los que suelen aparecer en los chanchullos del PP.
Lo que sí es claro, es que a este paso, Felipe "el compiyogui preparao" seguramente se harte pronto de la choni de Ayuso.
CC: #8 #16
#32 Que pregunten en Madrid Digital a cierta subcontrata que empieza por A y es de por ahí del sur. O a esa otra que empieza por E y acostumbran a echar muchas horas extras sin pagar.
Pero intenta cometer un fallo así en la empresa que estoy ahora y en 10 segundos tienes a los marines apuntándote a la cabeza. Esto me suena a la misma cagada que pasó con el Lexnet hace ya bastante.
#66 No te digo que no. no Cuál fue esa cagada con lexnet? (me refiero a cual fue la causa)
#73 Lo mismo exactamente, un cambio en un parámetro referente a un expediente (todos los expedientes jurídicos estaban referenciados por un identificador único numérico, creo), cambiando dicho parámetro podías ver la información de cualquier expediente en concreto. Creo que era en un servicio expuesto públicamente a través de una url sin autenticar.
#66 Pues sin pretender ser abogado del diablo pero no me parece correcto que un error así se le achaque a una sola persona, ni en una consultora de las del montón ni en la empresa en la que estas ahora. Debe haber protocolos, procedimientos, etapas... llámalo como quieras. Si sucede es un error en toda la cadena y por tanto un error del conjunto.
#21 Es Indra. Como no podía ser de otra manera.
¿Del titular se desprende que el rey no es una persona?
#5 Claro q no.
Por algo es inimputable, pq no se rige por las leyes humanas.
#24 Es inimputable porque una furcia natatoria le tiro una espada
#62 Eso fue en la Pérfida Albión. Aquí es inimputable por que a Paca la Culona le pareció buen negocio...
#62 La africana o la europea?
#5 ¿Jurídica?
#5 el rey el primer!!! Que para eso es el más español.
El resto de ciudadanos Somo contingentes pero el imprescindible
#44 Al contrario, el titular recuerda mucho al famoso "Mueren en un accidente tres personas y un gitano"
#5 O que al resto que le den.
Este "bug" lo he podido ver desde el principio. No solo a través del DNI, sino que a través del nombre también se podía buscar cualquier persona. Ciertamente no he probado a buscar el nombre de ningún personaje de la Casa Real, pero cualquier otro ciudadano en el sistema de salud madrileño, podía ser localizado con su DNI, nº de teléfono, dirección...
De esto nos dimos cuenta desde el primer día en el laboratorio, pero ni nos sorprendió. Con el COVID se han superado todas las barreras de la LOPD habidas y por haber, así que ya ni nos extrañaba. Muchas empresas reclaman el resultado de la PCR de sus trabajadores, antes incluso, de que se notificase al mismo trabajador. Que si ya de por si, ceder a la empresa resultados médicos de sus trabajadores chirría por todos lados, encima quererlos en primicia resultaba insultante.
Referente a lo descrito en la noticia, asegurar que el portal no fue explotado, supongo que querrá decir que no se puso a ningún bot a probar todos los DNIs y obtener todos los datos posibles. Pero que cualquiera que tuviese acceso buscase a quién le dase la gana, y quedase registrado...
Me resultaría curioso saber si el portal ha sido creado por el personal de la Consejería de Sanidad, o fue subcontratado a alguna empresa privada. Es curioso que no lo mencione la noticia.
#45 hubo un día, no recuerdo ahora exactamente, que cambiaron los móviles de la base de datos y no podías confirmar tu identidad en la autocita. Lo arreglaron al día siguiente y pudo estar relacionado con alguien que tuviera conocimiento de este fallo de seguridad.
#45 lo de que no ha sido explotado significa que no tienen ni registros de los intentos de acceso, y es por ello que no se puede probar que haya sido explotado.
Qué manía le tiene Ayuso al Rey. Qué fijación. Que Cersei eres. Mala!!
Uf menuda cagada
Jajaja, a alguien le van a reventar el culito.
#8 al informático
Por 40 segundos. Te odio.
#1 Código azul, confirmamos que el vehículo ya está de camino
#15 En mis tiempos un código azul era el ataque de un ángel.
#34 ¿Como? ¿Nos ataca un Ángel? ¿Donde está Shinji? ¡Activen el EVA-01!
#55 saaauuu kokuuu naghirokoosheee...
#15: Yo acabo de terminar de marcar el nuevo número de emergencias. 01189998819991197253
A todo lo demás: #ayusadas.
#13 me parece muy bien, es bastante sencillo mirar cual está una antes que otra y también puedes ver el resto de votos de la comunidad. Es más, ni te he votado negativa para que puedas descartar y no pierdas karma
#19 que buena persona eres.
#19 como para llevarla la contraria al número 1.
#22 Dudo bastante que sea un teléfono personal real. Quiero decir, sí será Real, pero no real. No sé si realmente me explico
#29 Jajaja, se ha entendido
#29 Hola, sí, esto... Me pasa con Juancar? Soy su mejor colega, sabe?
#70 nisisito transfirencia para tiu patre
Yo lo lei en twitter el 31 de mayo pasado
¿Alguien se ha quedado con el número del rey?
#12 Si te refieres al DNI es un número de los primeros, en plan en los 20 primeros o así.
#18 No no, lo decía lo decía por el número del móvil, que pone que era uno de los datos que han quedado públicos jaja
Es lo que pasa cuando tienes que hacer 17 webs y no una. Qué pena.
#31 Lo más ridículo es que sería posible juntar presupuestos para una sola web y reusarla todos, pero no es así.
#31 pudiendo hacer una para toda Europa, o mejor para todo el mundo, lo demás es tirar el dinero
#36 tienes razón. Para la próxima pandemia, una en cada municipio
#31 También ves lo negativo, de momento hay 16 que están a salvo.
#31 Que quieres? que dejen al descubierto los datos del pais entero?
A ver cómo actúa la Agencia de Protección de Datos.
#33 ¿la de Madrid que dirigía Abascal?
¿Quién le ha hecho la web de sanidad a la Comunidad de Madrid? ¿el Corte Inglés?
#54 esos ya tiraron la toalla con la informática... Iecisa ya no existe como tal.
#54 Indra.
"Del rey y miles de personas". Para qué decir miles de personas, entre ellas el rey. Si es que ya sabía yo que no somos iguales
#39 porque no lo somos, el rey es la encarnacion de la definicion supremacismo; "Ideología que defiende la superioridad de un colectivo frente a los demás por razones étnicas, biológicas, culturales, religiosas o de origen".
De todas formas es entre poco y nada probable que los datos de un rey aparezcan en ese listado, yo diria que lo han metido con calzador para llamar la atencion. Como dice el meme...
#39 claro que no todos somos iguales, hay quien sabe redactar y quien no.
Hoy, en nuestra sección "Cagadas épicas"...
Glups, pensé que era duplicada de esta otra:
https://www.eldiario.es/madrid/madrid-deja-descubierto-datos-personales-pacientes-sistema-autocita-vacunacion_1_8013044.html
Pero resulta que son dos fallos diferentes...
Dame una I
#27 A ver por favor colaboren, que entre todos tenemos que formar la palabra I N D R A.
#41 yo no colaboro a formar palabras que me meten strike
#27 ¿Es una I mayúscula o una l minúscula?
#67 claramente una I.
Y otra más
Ayuso ya le dejo las cosas clarinete al Rey con lo de los indultos. Primer aviso Felipe
edit
A saber cuanto les han colado por esa chapuza
Wayback Machine
Sistema apagado hasta que lo arreglen JEJEJEJEJ
https://portalciudadanoccd.sanidadmadrid.org/ohgreencardciu
Esto es muy extraño, no sólo que sea la Comunidad de Madrid quien afirme que Telemadrid publica un bulo sino que no explica en qué consiste la falsedad:
Da la sensación de que todo lo que es informática en la CAM es una auténtica basura hecha por becarios
El que haya tenido que pedir una beca de infantil online lo sabrá: información inconexa entre páginas, errores aleatorios, firmas digitales que se fuma al subir documentación e imposibilidad de reiniciar el proceso si da fallo
¿Por qué cuanto más populistas menos cuidado tienen con nuestros datos personales? Porque en Cataluña y el censo durante el 1 de octubre...
#26 Prisas y seguridad informática son antagónicos.
#26 ¿Tú crees que si hubiese estado a cargo un menistro del Partido Podrido No Populista, esto no hubiese pasado?
Típico fallo por usar GET en lugar de POST. ¿Quién hizo la web, un conserje?
#60 y no ponerle un token de autorización. Si fuese por post con postman o incluso con el firefox podrías hacerlo igual
#64 curl y un sh y a sacar la bb de datos entera
#13 No importa. La enviaste más tarde que esta y está.
La subcontrata de la subcontrata de la subcontrata...
Es la segunda vez que pasa. ¡Es alucinante! ¿No aprenden?
Y tienen la jeta de decir que "La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Insistimos en qué ya está bloqueada"
Sólo han dejado al descubierto los datos relativos de contacto a cada persona y su DNI, los teléfonos y la dirección postal. Maravilloso, una exposición de datos personales. Pero al menos no eran datos sensibles, "podría ser peor".
Por cosas así debería caer una multaza a la empresa que comete esos fallos, y si reinciden, sanciones mayores. Se están tratando datos de cada persona y deberían tratarlos como si les fuese el trabajo en ello. No sé si lo hacen, pero la AEPD o bien no parecía muy activa ante denuncias o bien no era muy comunicativa. Y siendo algo público, no sé yo si harán algo e irán a por el responsable del tratamiento.
#88 Pues lo clavaste, máquina. https://www.eldiario.es/tecnologia/madrid-pago-225-000-euros-indra-sistema-filtro-datos-personales-error-novato_1_8117493.html
Pues nada, una excusa más para contratar a una empresa de fuera para hacerle otro servicio web a la CAM. ¿Se lo llevará informática El Corte inglés? ¿Everis?
Madrileños, estáis en las mejores manos.
#61 Indra
Ya cualquiera puede ser un hacker
Este es uno de los motivos por los que el software desarrollado para la administración pública debería ser libre. Si cualquiera puede revisar el código es más fácil detectar los errores.
Además está pagado por todos, por lo que más motivo para que sea público.
Perdón por el voto, es mi primer día!
#2 se puede retirar durante unos segundos si hay equivocación, no pasa nada esas cosas pasan
¿Soy el único que se ha puesto a leer el trozo de código que aparece?
No sé qué me parece más cutre, si lode "fathers_family" y "mothers_family" para el primer y segundo apellido, siendo conceptos que desde hace años no existen en España (el primer apellido puede ser paterno o materno)...
O que en el sistema el Rey aparezca registrado con el nombre de "FELIPE DE", como primer apellido "BORBON Y DE", y como segundo apellido "GRECIA".
#76 Vamos a ponernos pedantes
- No es código, son datos (json)
- Lo del "father-family" y "mother-family" viene del especificación FHIR (Fast Healthcare Interoperability Resources) https://www.hl7.org/fhir/extension-humanname-mothers-family.html , así que no es achacable a este sistema
- En la forma de partir el nombre y los apellidos ya te doy la Razón... aunque probablemente quién lo metió lo hizo así porque sabía que si ponía "de Borbon" como apellido se indexaba por la "de" en vez de por "Borbon".
#80 Lo cual jode la cardinalidad, pero es más correcto.
#80 Mi comentario no era menos pedante, y la justificación que has hecho lo merece.
El problema entonces está en la especificación y no en el que hizo la aplicación.
Lo de que el mothers family sea una extensión también me pregunto si encajará en el modelo Portugués, donde es el primer apellido el extendido.
¿Pero Elvis no había muerto?
Corregidme y fundidme a negativos. Oh coders del averno!
No entiendo cómo puede salir eso en el fuente. Desde cuando se rellenan arrays con datos a lo bruto.
RecononoCo que experiencia laboral poca o ninguna. Pero esto no es así. Verdad ?
Admito enlaces a GitHub
#90 Es una respuesta con datos en formato JSON
#96 gracias por responder. Algo había leído de JSON ese pero no lo había mirado en serio. Positivo pa ti
#O duplicada Un error de seguridad desvela los datos de miles de madrileños, entre ellos los de Felipe VI y Pedro Sánchez
Un error de seguridad desvela los datos de miles d...
cadenaser.com#6 No. La enviaste unos segundos después y lo sabes
#6 lo siento, pero la duplicada es la tuya
#9 FIGHT!!
#10
#9 no estoy de acuerdo