Portada
Hace 14 años | Por nrh91 a elmundo.es
Publicado hace 14 años por nrh91 a elmundo.es
Un grave error en el web de Ministerio de Vivienda daba acceso a datos personales

Un grave error en el web de Ministerio de Vivienda daba acceso a datos personales

 elmundo.es

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos. Se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 6 37

Comentarios

D
editado

Y van N razones para suprimir este ministerio..

V 24
K 198
Fotoperfecta
editado

#1 Lo que deberían hacer es cancelar el contrato de la empresa encargada de hacer la página, y pedirle daños y perjuicios.
Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.
No tiene que ver una cosa con otra.
En este caso el responsable es el programador de la página, no el Ministerio.
Otra cosa es que pensemos que tal y como van las cosas, este ministerio tenga razón de ser, pero ese es otro tema.

V 7
K 79
t
editado

#8 No funciona si la empresa es egipcia

V 0
K 7
Boudleaux
editado

#8 En este caso el responsable es el programador de la página, no el Ministerio.

perdona pero el culpable en todo caso es la empresa, no el trabajador.

Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.

pues por eso mismo, la culpa sería de la marca, no del mecánico que ensambló el motor por decir algo. y ya puestos y desconociendo exactamente el caso, podría hasta decirse que la culpa podría estar hasta en el servidor (configuración) donde estuviera alojada la web por aceptar cierto tipo de urls etc etc y etc... a saber!

solo una cosa está clara: la culpa no es del programador = trabajador.

V 0
K 7
Fotoperfecta
editado

#28 Perdona, pero una cosa es que la empresa tenga que responder por los actos de sus empleados, y otra que el empleado no tenga ninguna culpa.
Ha programado la página el trabajador, no la empresa.
Que responda la empresa X, no exime que el trabajador Y se irá a la calle por la cagada.

V 2
K 41
drodriguez
editado

#30 Pues sí. Parece que por el hecho de ser "trabajadores" las personas no tienen responsabilidad de sus actos.

Lo que tengo duda es cómo se actuará en este caso. A ver, si las administraciones meten la pata en Protección de Datos, no reciben sanción económica; las empresas sí. ¿Y si es una web de un organismo público hecha por una empresa? Ni idea...

V 0
K 9
mefistófeles
editado

#8 No, la culpa es del trabajador, pero la responsabilidad es de la empresa. Son conceptos distintos culpa y responsabilidad.

V 0
K 11
PussyLover
editado

#1 Por mi pueden empezar ya también a suprimirlo, unos €uros que nos ahorramos.

V 0
K 6
G
editado

Hola,
Soy el que ha descubierto la vulnerabilidad. El error era tan lamentable como sustituir empleando en este caso FireBug (pero vamos se podía con JavaScritp, empleando un formulario en local, un script en PHP que descargase todo uno a uno modificando el campo, etc). El valor en un input hidden.
Para los links internos se empleaba un formulario con varios campos hidden que se enviaba como POST se abre el FireBug, se localizan los input hidden con nombre beIdentificador, y rcIdentificador, y se cambia el valor, luego le das a enviar, y fuera.
Para evitarlo símplemente habría que verificar el que estos campos pertenezcan al usuario logueado, o mantener la persistencia en la sesión de otra forma no tan lamentable. Pero es demasiado trabajo según parece.
He colgado una captura del código en el FireBug en: http://tras2-desarrollos.es/rbe.png

Un saludo.

V 12
K 111
santoysenia
editado

#23 ¿Santi?

V 3
K 46
D
editado

#25 El primo del portero del Alcorcón.

V 3
K 36
b
editado

Venga... a ver cuantos comentarios de "Esto con el Colegio no pasaba"

V 5
K 60
y
editado

#2, pues sí, los proyectos de la administración deberían ir visados. Como deberían tener garantizado el tema de la accesibilidad, la validación W3C, etc...

V 1
K 19
j
editado

¿Sabe alguien los multazos que está metiendo la APD por este tipo de cosas? Claro que un fallo de estos en una empresa, se lo comen los socios y los empleados si no hay dinero, en un ministerio se lo come el pueblo español mientras los responsables se van de little roses.

https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/index-ides-idphp.php

V 3
K 39
sam2001
editado

Hoy la Administración se está cubriendo de gloria con estos temas: La web de la DGT permite conocer los sancionados por multas de tráfico

Hace 14 años | Por sam2001 a samuelparra.com
Publicado hace 14 años por sam2001 a samuelparra.com

La web de la DGT permite conocer los sancionados p...

 samuelparra.com

V 3
K 32
e4404
editado

¿Existe un ministerio de la vivienda? Nunca me lo hubiera imaginado...

V 1
K 27
g
editado

Hola, soy Santi, el que hizo la web...

V 2
K 25
c
editado

La caché de Google (por si alguno quiere cotillear el código fuente): http://webcache.googleusercontent.com/search?q=cache:MdIC5sM_eKwJ:rbe.vivienda.es/+rbe+vivienda&cd=1&hl=en&ct=clnk

Me gusta lo poner un formulario distinto para cada botón de selección del idioma. ¿Esto quien lo ha hecho?

Y supongo que la vulnerabilidad pasaría por algo tan tonto como llamar directamente action (info.do) cambiando el campo hidden con el identificador (¿DNI?). Triste.

V 2
K 18
r
editado

#14 Todo un ejemplo de las buenas prácticas de programación y diseño.

V 1
K 12
c
editado

#20 Otra joyita:
#ffff66">RBE

V 1
K 12
subzeta
editado

Al fin llegó el día: un verdadero ERROR INFORMÁTICO de un informático y no la ineptitud del periodista y currito de turno.

V 1
K 16
alexwing
editado

Si no paga ningún organismo público el certificado para https, de que os vais a extrañar...

V 1
K 16
y
editado

#3, la página de Hacienda tiene varios servidores con certificados self signed y/o imposibles de validar...

V 1
K 13
D
editado

#3 Cualquier certificado SSL es igual de seguro que uno de pago. Incluso los auto-firmados.

Únicamente, que para cada "empresa" que los firme, se debe instalar el certificado de Raiz (CA) en el navegador, lo que ocurre esque los de pago (Verisign, RapidSSL, Tawte...) dan una garantía (una responsabilidad) y los navegadores ya incluyen los certificados de raíz.

Lo que deberían hacer, esque la FNMT firme esos certificados y que los navegadores incluyan el certificado Raíz de la FNMT que sirva tanto para webs como DGT, Hacienda, Vivienda, Educación... como para el DNIe.

V 4
K 43
D
editado

#10 No es igual de seguro, un certificado autofirmado hace que los accesos a la web puedan ser redireccionados a otro servidor sin que nadie se de cuenta. Vamos, que si tengo un servidor DNS y redirijo agenciatributaria.es al servidor de mi casa, todos los que accedan a la agencia tributaria resolviendo el dominio en mi DNS se comen con patatas el certificado que acabo de generarme, ya que están acostumbrados a que el del servidor real dé el mismo error.

Por otra parte, no es viable que cada país emita sus CA, ¿tendríamos que tener todos instalados los de todos los países del mundo? Yo creo que los debería emitir la unión europea, por ejemplo.

V 0
K 6
D
editado

#10 Eso no es posible porque el DNIe no lo certifica la FNMT (que sería lo lógico, porque a efectos prácticos es igual que el certificado digital) sino la Dirección General de la Policía.

V 0
K 10
j
editado

Que se localice al ingeniero informático que firmó el proyecto y se depuren responsabilidades... ah no...

V 1
K 16
p
editado

#27 Qué razón tienes, aquí no ha pasado ni media, puesto que los informáticos no tenemos colegio porque las autoridades no lo consideran una ingeniería como las otras.

Si nos tenemos que aguantar nosotros con el intrusismo laboral de gente con otros estudios, se tienen ahora ellos que aguantar con gente que hace webs con el dreamweaver.

Y que conste que echando un vistazo al código de la página, considero que es una auténtica chapuza tras otra.

V 2
K 2
Candidatas
41
meneos
ciencia Hospital Nacional de Parapléjicos: 50 años de ciencia aplicada a la lesión medular
80
meneos
politica "Ayuso ha tomado la decisión de suprimir los impuestos a los ricos. Así se deja de recaudar el dinero correspondiente a 700 escuelas infantiles, 250 colegios o 20 hospitales”
28
meneos
actualidad Hezbollah publica imágenes de reconocimiento aéreo de áreas sensibles en el norte de Palestina, incluida Haifa (EN)
23
meneos
cultura Clubes de Lectura: comunidades literarias que nutren mentes y corazones
45
meneos
cultura La historia de Cesarión, el infortunado hijo de Julio César y Cleopatra
31
meneos
actualidad La jubilación masiva del baby boom abrirá en España el mayor agujero en el PIB per cápita de toda la OCDE
68
meneos
actualidad Internet Archive: "Dejad que los lectores lean" [Ing]
34
meneos
politica Begoña Gómez acusa al juez Peinado de vulnerar sus derechos al no aclarar por qué hechos la investiga
41
meneos
arteymercado Explotada, utilizada y castigada, lo que dice el arte de cómo era la infancia en la Edad Moderna
53
meneos
actualidad Condenada la alcaldesa de Gijón por “pagos indebidos” con cargo a los fondos del Grupo Municipal
24
meneos
cultura De Ramón y Cajal a Félix Rodríguez de la Fuente: el imán de la Albufera para la ciencia
41
meneos
actualidad Habla el alcalde que paralizó las obras del chalet "ilegal" del juez Peinado: "Me dijo que no lo hiciera"
26
meneos
sebusca Katy, desaparecida tras bajar de un autobús en Barcelona: "Me tienen secuestrada, me van a matar, mamá"
27
meneos
actualidad El Peugeot Traveller en Francia cuesta lo mismo que un coche de lujo alemán, un disparate con sólo dos soluciones
24
meneos
literatura Las "causas célebres" de la España del siglo XVIII y XIX en "Crímenes pregonados"
30
meneos
actualidad Actúa contra los pisos turísticos
27
meneos
ciencia Un fármaco reprograma las respuestas inmunitarias para atacar el glioblastoma (eng)
31
meneos
politica Nueva puñalada del Ayuntamiento de València a los agricultores
D
editado

Ahora entiendo por que no me fian los cubatas...

V 1
K 12
D
editado

Que los denuncien a Protección de Datos, que por ser un Ministerio no se les puede exculpar por su incompetencia.

V 0
K 7
vilgeits
editado

Parece el Ministerio de la Videncia

V 0
K 7
onlinegratis
editado

El sitio web del Ministerio de la Vivienda que es esto..

V 0
K 6
d
editado

¿Como va a el tema? Eso nos pasa a cualquiera de los mortales y la AEPD viene con el cuchillo de combate a rajarnos pero si le pasa al gobierno aqui no pasa nada

Que se vayan a tomar por culo

V 0
K 6
c
editado

tanto que nos dan por saco con la ley de protección de datos y ahora meten la gamba. pero claro no creo que les sancionen...

V 0
K 6
p
editado

Eso sin contar con que la página, por mucho que hablen de empresa, lo mismo la ha hecho el típico primo/sobrino que sabe de ordenadores, de algún jefazo. Total, si aquí cualquiera sabe hacer webs, es algo facilísimo que no requiere de análisis de seguridad ni nada...

V 0
K 6
Spartan67
editado

Ahora van a cambiarlo de nombre será el de misterio de la vivienda. lol

V 0
K 6
D
editado

No me pagan desde Noviembre... Dicen que tengo incidencias con la Agencia Tributaria, pero es mentira, yo tengo todas mis cuentas al corriente con la Ag.Trib.

V 0
K 6