Vulnerabilidades críticas en el sitio web del MinCyT – Argentina
Nos informa Zerial, que ha encontrado vulnerabilidades críticas en sitio web del Ministerio de Ciencia, Tecnología e Innovación Productiva (MinCyT – Argentina) y, como lamentablemente luego de denunciar las mismas no ha obtenido respuesta, ha decidido publicar dichas vulnerabilidades.
Desde Segu-Info deseamos que el Ministerio tome cartas en el asunto de forma inmediata y recordamos a los usuarios que debería seguirse una actitud responsable para informar cualquier tipo de vulnerabilidad en aplicaciones o sitios web.
Actualización 18:00 hs: ArCERT se ha comunicado con nosotros para verificar el caso y intentar su solución a la brevedad.
Actualización 21:00 hs: la vulnerabilidad ha sido corregida.
Actualización 13/08 20:00 hs: por favor leer los comentarios para seguir lo ocurrido.
SoloE de la Redacción de Segu-Info
Desde Segu-Info deseamos que el Ministerio tome cartas en el asunto de forma inmediata y recordamos a los usuarios que debería seguirse una actitud responsable para informar cualquier tipo de vulnerabilidad en aplicaciones o sitios web.
Actualización 18:00 hs: ArCERT se ha comunicado con nosotros para verificar el caso y intentar su solución a la brevedad.
Actualización 21:00 hs: la vulnerabilidad ha sido corregida.
Actualización 13/08 20:00 hs: por favor leer los comentarios para seguir lo ocurrido.
SoloE de la Redacción de Segu-Info
Queremos informarles que al momento de tomar conocimiento de este post (17:45hs
ResponderBorraraprox.) nos hemos puesto en contacto con los administradores del Ministerio,
quienes nos manifestaron que estarían solucionando el tema a la mayor brevedad.
Queremos comentarles que la Administración Pública Argentina cuenta con un CERT
donde pueden realizar este tipo de denuncias: [www.arcert.gov.ar]
En ArCERT contamos con una base de responsables informáticos de muchos
organismos públicos de Argentina y colaboramos en la resolución de este tipo de
problemas. La resolución de incidentes demuestra ser mucho más rápida por esta vía.
En muchos casos comunicarse con los administradores de un sitio por cuenta
propia es engorroso y puede causar una falsa sensación de ser ignorados, porque
la cuenta a la que se envía la información no es la correcta o la persona con la
que se habla no entiende y no gestiona correctamente el problema.
Ya saben como pueden proceder para una próxima vez.
Saludos
Equipo ArCERT
Gracias ArCERT:
ResponderBorrarEs muy bueno conocer que ahora reciben y responden este tipo de denuncias. Lamentablemente sucede que no todos los usuarios pueden o deben conocer las formas de reportar vulnerabilidades y muchas veces se procede de la forma que se considera correcta en ese momento.
Desde Segu-Info reportamos decenas de casos de Phishing y vulnerabilidades cada semana, debido a que los usuarios confían en nosotros y somos un nexo importante entre ellos y las entidades privadas y gubernamentales. Justamente a veces es la falta de confianza la que genera que los usuarios no reporten por el canal adecuado. En este caso por ej. la persona que encontró la vulnerabilidad dice haberlo reportado a la entidad que creyó adecuada (la secretaría) y, al no obtener respuesta, lo hizo público el 10/08. parece que eso tampoco fue suficiente y recien cuando nosotros lo publicamos, el caso llegó a Uds.
Haciendo mea culpa, esperamos que este ejercicio nos sirva a todos para aprender y comenzar a reportar al canal adecuado y que ese canal responda como es debido en tiempo en forma.
Cristian
No vivo en Argentina y no tenia idea de la existencia de CERT, me comunique con varios conocidos y tampoco nadie sabia que hacer, asi que me comuniqué con los encargados de mincyt sin obtener respuesta, luego de 1 mes mas o menos, decidi publicar la vulnerabilidad, si no lo hubiese hecho seguiria asi. No lo hice pensando en un futuro daño o las consecuencias que podria traer, simplemente dar a conocer desde mi punto de vista la seguridad de los distintos gobiernos.
ResponderBorrarZerial