Portada
Hace 2 años | Por A_D a eldiario.es
Publicado hace 2 años por A_D a eldiario.es
Un fallo en la web de Sanidad de Madrid deja al descubierto los datos del rey y miles de personas

Un fallo en la web de Sanidad de Madrid deja al descubierto los datos del rey y miles de personas

 eldiario.es

El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 4.6k 98

Comentarios

Ehorus

#16 pero al de la sub - sub - sub - sub - sub ....
..
...
....
.....
suncontrata

V 12
K 108
D

#21 No hombre, ahora con ayuso las cosas se hacen de otra manera. Le habrá dado el contrato directamente al chiringuito de algún amigo, como con el de los hoteles, sin un concurso público decente, por eso las chapuzas. Bueno, igual su amigo es el de algún macrogrupo de los que suelen aparecer en los chanchullos del PP.

Lo que sí es claro, es que a este paso, Felipe "el compiyogui preparao" seguramente se harte pronto de la choni de Ayuso.

CC: #8 #16

V 2
K 24
mre13185
editado

#32 Que pregunten en Madrid Digital a cierta subcontrata que empieza por A y es de por ahí del sur. O a esa otra que empieza por E y acostumbran a echar muchas horas extras sin pagar.

Pero intenta cometer un fallo así en la empresa que estoy ahora y en 10 segundos tienes a los marines apuntándote a la cabeza. Esto me suena a la misma cagada que pasó con el Lexnet hace ya bastante.

V 3
K 30
D

#66 No te digo que no. no Cuál fue esa cagada con lexnet? (me refiero a cual fue la causa)

V 1
K 9
mre13185

#73 Lo mismo exactamente, un cambio en un parámetro referente a un expediente (todos los expedientes jurídicos estaban referenciados por un identificador único numérico, creo), cambiando dicho parámetro podías ver la información de cualquier expediente en concreto. Creo que era en un servicio expuesto públicamente a través de una url sin autenticar.

V 1
K 24
D

#66 Pues sin pretender ser abogado del diablo pero no me parece correcto que un error así se le achaque a una sola persona, ni en una consultora de las del montón ni en la empresa en la que estas ahora. Debe haber protocolos, procedimientos, etapas... llámalo como quieras. Si sucede es un error en toda la cadena y por tanto un error del conjunto.

V 0
K 7
leitzaran

#21 Es Indra. Como no podía ser de otra manera.

V 0
K 6
tremebundo
editado

¿Del titular se desprende que el rey no es una persona?

V 13
K 105
NinjaBoig

#5 Claro q no.
Por algo es inimputable, pq no se rige por las leyes humanas.

V 6
K 66
dilsexico

#24 Es inimputable porque una furcia natatoria le tiro una espada

V 5
K 39
Chaotic_and_Reckless_
editado

#62 Eso fue en la Pérfida Albión. Aquí es inimputable por que a Paca la Culona le pareció buen negocio...

V 4
K 44
NinjaBoig

#62 La africana o la europea?

V 1
K 21
S

#5 ¿Jurídica?

V 1
K 21
Kasterot

#5 el rey el primer!!! Que para eso es el más español.
El resto de ciudadanos Somo contingentes pero el imprescindible roll

V 2
K 27
Anomalocaris
editado

#44 Al contrario, el titular recuerda mucho al famoso "Mueren en un accidente tres personas y un gitano"

V 0
K 7
Thony
editado

#5 O que al resto que le den.

Este "bug" lo he podido ver desde el principio. No solo a través del DNI, sino que a través del nombre también se podía buscar cualquier persona. Ciertamente no he probado a buscar el nombre de ningún personaje de la Casa Real, pero cualquier otro ciudadano en el sistema de salud madrileño, podía ser localizado con su DNI, nº de teléfono, dirección...

De esto nos dimos cuenta desde el primer día en el laboratorio, pero ni nos sorprendió. Con el COVID se han superado todas las barreras de la LOPD habidas y por haber, así que ya ni nos extrañaba. Muchas empresas reclaman el resultado de la PCR de sus trabajadores, antes incluso, de que se notificase al mismo trabajador. Que si ya de por si, ceder a la empresa resultados médicos de sus trabajadores chirría por todos lados, encima quererlos en primicia resultaba insultante.

Referente a lo descrito en la noticia, asegurar que el portal no fue explotado, supongo que querrá decir que no se puso a ningún bot a probar todos los DNIs y obtener todos los datos posibles. Pero que cualquiera que tuviese acceso buscase a quién le dase la gana, y quedase registrado...

Me resultaría curioso saber si el portal ha sido creado por el personal de la Consejería de Sanidad, o fue subcontratado a alguna empresa privada. Es curioso que no lo mencione la noticia.

V 11
K 100
L

#45 hubo un día, no recuerdo ahora exactamente, que cambiaron los móviles de la base de datos y no podías confirmar tu identidad en la autocita. Lo arreglaron al día siguiente y pudo estar relacionado con alguien que tuviera conocimiento de este fallo de seguridad.

V 1
K 19
xkill

#45 lo de que no ha sido explotado significa que no tienen ni registros de los intentos de acceso, y es por ello que no se puede probar que haya sido explotado.

V 1
K 20
mariKarmo
editado

Qué manía le tiene Ayuso al Rey. Qué fijación. Que Cersei eres. Mala!!

V 10
K 97
Verdaderofalso

Uf menuda cagada

V 7
K 88
D

Jajaja, a alguien le van a reventar el culito.

V 4
K 82
Verdaderofalso

#8 al informático lol

V 0
K 15
kain_666

Por 40 segundos. Te odio.

V 7
K 67
Elenio

#1 Código azul, confirmamos que el vehículo ya está de camino

comment_33364906 media
V 5
K 45
EmuAGR
editado

#15 En mis tiempos un código azul era el ataque de un ángel.

V 5
K 45
Kleshk

#34 ¿Como? ¿Nos ataca un Ángel? ¿Donde está Shinji? ¡Activen el EVA-01!

comment_33365339 media
V 8
K 66
Tolodomonte

#55 saaauuu kokuuu naghirokoosheee...

V 2
K 13
m
editado

#15: Yo acabo de terminar de marcar el nuevo número de emergencias. 01189998819991197253

A todo lo demás: #ayusadas.

V 2
K 20
A_D
autor

#13 me parece muy bien, es bastante sencillo mirar cual está una antes que otra y también puedes ver el resto de votos de la comunidad. Es más, ni te he votado negativa para que puedas descartar y no pierdas karma

V 2
K 49
cenbpalencia

#19 que buena persona eres.

V 7
K -30
cenbpalencia

#19 como para llevarla la contraria al número 1.

V 3
K -17
T

#22 Dudo bastante que sea un teléfono personal real. Quiero decir, sí será Real, pero no real. No sé si realmente me explico

V 7
K 46
D

#29 Jajaja, se ha entendido

V 1
K 11
neo1999

#29 Hola, sí, esto... Me pasa con Juancar? Soy su mejor colega, sabe?

V 0
K 10
socialista_comunista

#70 nisisito transfirencia para tiu patre

V 0
K 8
d

Yo lo lei en twitter el 31 de mayo pasado

V 3
K 36
D

¿Alguien se ha quedado con el número del rey?

V 2
K 34
T
editado

#12 Si te refieres al DNI es un número de los primeros, en plan en los 20 primeros o así.

V 4
K 38
D

#18 No no, lo decía lo decía por el número del móvil, que pone que era uno de los datos que han quedado públicos jaja

V 1
K 24
ktzar

Es lo que pasa cuando tienes que hacer 17 webs y no una. Qué pena.

V 3
K 32
Fingolfin

#31 Lo más ridículo es que sería posible juntar presupuestos para una sola web y reusarla todos, pero no es así.

V 3
K 41
nemesisreptante

#31 pudiendo hacer una para toda Europa, o mejor para todo el mundo, lo demás es tirar el dinero

V 2
K 30
ktzar

#36 tienes razón. Para la próxima pandemia, una en cada municipio

V 0
K 9
MiguelDeUnamano

#31 También ves lo negativo, de momento hay 16 que están a salvo.

V 2
K 27
dilsexico

#31 Que quieres? que dejen al descubierto los datos del pais entero?

V 0
K 6
c

A ver cómo actúa la Agencia de Protección de Datos.

V 1
K 27
E

#33 ¿la de Madrid que dirigía Abascal?

V 3
K 38
io1976

¿Quién le ha hecho la web de sanidad a la Comunidad de Madrid? ¿el Corte Inglés?

V 3
K 24
vilujo

#54 esos ya tiraron la toalla con la informática... Iecisa ya no existe como tal.

V 0
K 6
leitzaran

#54 Indra.

V 0
K 6
N

"Del rey y miles de personas". Para qué decir miles de personas, entre ellas el rey. Si es que ya sabía yo que no somos iguales

V 1
K 22
johel
editado

#39 porque no lo somos, el rey es la encarnacion de la definicion supremacismo; "Ideología que defiende la superioridad de un colectivo frente a los demás por razones étnicas, biológicas, culturales, religiosas o de origen".
De todas formas es entre poco y nada probable que los datos de un rey aparezcan en ese listado, yo diria que lo han metido con calzador para llamar la atencion. Como dice el meme...

comment_33365065 media
V 2
K 19
c

#39 claro que no todos somos iguales, hay quien sabe redactar y quien no.

V 0
K 7
T

Hoy, en nuestra sección "Cagadas épicas"...

V 2
K 20
neotobarra2

Glups, pensé que era duplicada de esta otra:

https://www.eldiario.es/madrid/madrid-deja-descubierto-datos-personales-pacientes-sistema-autocita-vacunacion_1_8013044.html

Pero resulta que son dos fallos diferentes...

V 1
K 19
AubreyDG

Dame una I

V 2
K 16
AubreyDG

#27 A ver por favor colaboren, que entre todos tenemos que formar la palabra I N D R A.

V 3
K 19
E

#41 yo no colaboro a formar palabras que me meten strike

V 2
K 38
obi_juan

#27 ¿Es una I mayúscula o una l minúscula?

V 1
K 13
AubreyDG

#67 claramente una I.

V 0
K 10
mudit0

Y otra más

V 1
K 14
MellamoMulo

Ayuso ya le dejo las cosas clarinete al Rey con lo de los indultos. Primer aviso Felipe

V 0
K 14
Unregistered
editado

edit

V 0
K 12
H

A saber cuanto les han colado por esa chapuza

V 1
K 12
Candidatas
11
meneos
tecnología La Audiencia Nacional de España niega a EEUU una extradición por uno de los mayores ciberataques de la historia: Conficker
13
meneos
tecnología Amazon Prime Vídeo te estafa. Que no te tomen el pelo
11
meneos
tecnología Siemens Gamesa planea instalar un aerogenerador de 21 MW, el más potente del mundo
10
meneos
tecnología PROSOLAR BIRDS, El original invento desarrollado en España para proteger los paneles solares de los excrementos de los pájaros
9
meneos
tecnología Sólo hay que añadir agua: Crea tus propios muebles con estos diseños de esponjas emergentes (ENG)
16
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
44
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
9
meneos
tecnología La Mega Drive llega a España
25
meneos
tecnología musicForProgramming ();
15
meneos
tecnología El proyecto Alia, el 'ChatGPT español' que entrena el Gobierno: "La calidad de las respuestas va a ser mucho mejor"
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
8
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
10
meneos
tecnología La razón por las que los usuarios de Android pronto van a tener siempre encendido el Bluetooth
5
meneos
tecnología Investigadores de HKU Engineering descubren la clave para lograr células solares orgánicas eficientes y estables (eng)
6
meneos
tecnología Black Basta, el principal sospechoso en el ciberataque a Ayesa
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
5
meneos
tecnología Minoristas se quejan de Intel: "Los Core 14 son un desastre"
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
Matrix777

Wayback Machine

V 1
K 12
kaysenescal

Sistema apagado hasta que lo arreglen JEJEJEJEJ

https://portalciudadanoccd.sanidadmadrid.org/ohgreencardciu

V 1
K 10
S
editado

Esto es muy extraño, no sólo que sea la Comunidad de Madrid quien afirme que Telemadrid publica un bulo sino que no explica en qué consiste la falsedad:

V 0
K 10
Calomar

Da la sensación de que todo lo que es informática en la CAM es una auténtica basura hecha por becarios
El que haya tenido que pedir una beca de infantil online lo sabrá: información inconexa entre páginas, errores aleatorios, firmas digitales que se fuma al subir documentación e imposibilidad de reiniciar el proceso si da fallo

V 0
K 10
phillipe

¿Por qué cuanto más populistas menos cuidado tienen con nuestros datos personales? Porque en Cataluña y el censo durante el 1 de octubre...

V 0
K 10
EmuAGR

#26 Prisas y seguridad informática son antagónicos.

V 1
K 20
tremebundo
editado

#26 ¿Tú crees que si hubiese estado a cargo un menistro del Partido Podrido No Populista, esto no hubiese pasado?

editado:
Perdona, acabo de ver que ha sido la de las cañas y la libertá

V 2
K 22
tarkovsky

Típico fallo por usar GET en lugar de POST. ¿Quién hizo la web, un conserje?

V 0
K 10
elGude

#60 y no ponerle un token de autorización. Si fuese por post con postman o incluso con el firefox podrías hacerlo igual

V 3
K 26
elkaladin

#64 curl y un sh y a sacar la bb de datos entera

V 1
K 20
D

#13 No importa. La enviaste más tarde que esta y está.

V 0
K 9
dragonut

La subcontrata de la subcontrata de la subcontrata...

V 0
K 9
Arcueid

Es la segunda vez que pasa. ¡Es alucinante! ¿No aprenden?
Y tienen la jeta de decir que "La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Insistimos en qué ya está bloqueada"
Sólo han dejado al descubierto los datos relativos de contacto a cada persona y su DNI, los teléfonos y la dirección postal. Maravilloso, una exposición de datos personales. Pero al menos no eran datos sensibles, "podría ser peor".

Por cosas así debería caer una multaza a la empresa que comete esos fallos, y si reinciden, sanciones mayores. Se están tratando datos de cada persona y deberían tratarlos como si les fuese el trabajo en ello. No sé si lo hacen, pero la AEPD o bien no parecía muy activa ante denuncias o bien no era muy comunicativa. Y siendo algo público, no sé yo si harán algo e irán a por el responsable del tratamiento.

V 0
K 9
teseo

#88 Pues lo clavaste, máquina. https://www.eldiario.es/tecnologia/madrid-pago-225-000-euros-indra-sistema-filtro-datos-personales-error-novato_1_8117493.html

V 0
K 9
teseo
editado

Pues nada, una excusa más para contratar a una empresa de fuera para hacerle otro servicio web a la CAM. ¿Se lo llevará informática El Corte inglés? ¿Everis?

Madrileños, estáis en las mejores manos.

V 0
K 9
el-brujo

#61 Indra lol

V 0
K 9
r

Ya cualquiera puede ser un hacker lol lol

V 0
K 7
arc97

Este es uno de los motivos por los que el software desarrollado para la administración pública debería ser libre. Si cualquiera puede revisar el código es más fácil detectar los errores.
Además está pagado por todos, por lo que más motivo para que sea público.

V 0
K 7
D

Perdón por el voto, es mi primer día!

V 0
K 7
A_D
autor

#2 se puede retirar durante unos segundos si hay equivocación, no pasa nada esas cosas pasan

V 3
K 47
avalancha971

¿Soy el único que se ha puesto a leer el trozo de código que aparece?

No sé qué me parece más cutre, si lode "fathers_family" y "mothers_family" para el primer y segundo apellido, siendo conceptos que desde hace años no existen en España (el primer apellido puede ser paterno o materno)...

O que en el sistema el Rey aparezca registrado con el nombre de "FELIPE DE", como primer apellido "BORBON Y DE", y como segundo apellido "GRECIA".

V 0
K 7
a
editado

#76 Vamos a ponernos pedantes

- No es código, son datos (json)
- Lo del "father-family" y "mother-family" viene del especificación FHIR (Fast Healthcare Interoperability Resources) https://www.hl7.org/fhir/extension-humanname-mothers-family.html , así que no es achacable a este sistema
- En la forma de partir el nombre y los apellidos ya te doy la Razón... aunque probablemente quién lo metió lo hizo así porque sabía que si ponía "de Borbon" como apellido se indexaba por la "de" en vez de por "Borbon".

V 4
K 41
daphoene

#80 Lo cual jode la cardinalidad, pero es más correcto.

V 0
K 7
avalancha971

#80 Mi comentario no era menos pedante, y la justificación que has hecho lo merece.

El problema entonces está en la especificación y no en el que hizo la aplicación.

Lo de que el mothers family sea una extensión también me pregunto si encajará en el modelo Portugués, donde es el primer apellido el extendido.

V 0
K 7
h

¿Pero Elvis no había muerto?

V 0
K 6
Lord_Lurker
editado

Corregidme y fundidme a negativos. Oh coders del averno!

No entiendo cómo puede salir eso en el fuente. Desde cuando se rellenan arrays con datos a lo bruto.

RecononoCo que experiencia laboral poca o ninguna. Pero esto no es así. Verdad ?

Admito enlaces a GitHub

V 0
K 6
el-brujo

#90 Es una respuesta con datos en formato JSON

V 1
K 15
Lord_Lurker

#96 gracias por responder. Algo había leído de JSON ese pero no lo había mirado en serio. Positivo pa ti

V 0
K 6
cenbpalencia

#O duplicada Un error de seguridad desvela los datos de miles de madrileños, entre ellos los de Felipe VI y Pedro Sánchez

Hace 2 años | Por cenbpalencia a cadenaser.com
Publicado hace 2 años por cenbpalencia a cadenaser.com

Un error de seguridad desvela los datos de miles d...

 cadenaser.com

V 26
K -74
Unregistered
editado

#6 No. La enviaste unos segundos después y lo sabes

V 8
K 102
A_D
autor

#6 lo siento, pero la duplicada es la tuya

V 4
K 66
D

#9 FIGHT!!

V 7
K 92
A_D
autor

#10 lol

V 0
K 20
cenbpalencia

#9 no estoy de acuerdo

V 4
K -12