Filtración de información privada en AFIP (solucionado)
El viernes 31 de diciembre de 2010, aproximadamente 12 horas antes de estar un año mas cerca del futuro, accedo a mi cuenta de la AFIP con mi clave fiscal. Yo soy unas de las personas de las cuales la AFIP posee los datos biométricos como foto, firma, huellas dactilares, y también el DNI o documento escaneado que certifique identidad.
Al ver mi foto y firma en la ficha, se me ocurrió indagar un poco más sobre la seguridad de mi información accesible desde Internet. En un par de minutos, logré ver foto y firma de un total extraño, buscando un nombre al azar. Mas tarde, descubrí también que es posible acceder al DNI escaneado (el cual no aparece en la ficha personal) y que no es necesario acceder con clave fiscal (es decir, cualquier persona del mundo con acceso a internet, puede acceder sin mayores complicaciones), lo que no pude encontrar son las huellas dactilares.
En este momento estoy enviando un correo a la AFIP para que solucionen el asunto, y mientras retiren mi información y la de todos los ciudadanos afectados, una vez solucionado el inconveniente, publicaré en detalle la sencilla falla de seguridad mencionada.
Les recomiendo tomar las medidas que crean correspondientes si se ven obligados a realizar algún trámite en AFIP y les requieren sus datos biométricos.
Resulta aún mas preocupante al ser obligatorio el reempadronamiento a los contribuyentes con CUIT durante el 2010 (Ah, Feliz año nuevo!), según leí en Clarín y La Nación al profundizar en el tema.
Si bien no recibí respuesta alguna al mensaje enviado a [email protected], hoy tempranito (3/1/2011) aparecía desactivado el servicio que provee la información en cuestión (nadie podía ver ni su propia data), y un rato mas tarde, habílitaron nuevamente el servicio, pero con sustanciales mejoras.
Estando solucionado el inconveniente, paso a detallar el problema denunciado y la solución desarrollada por AFIP en un par de horas. Se podía encontrar la siguiente URL:
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=XXXXXXXXXXX&tipo=N
Siendo XXXXXXXXXXX el Nro de CUIT y N el tipo de dato, N podía ser 1 para obtener la Foto, 2 para la Firma, y 4 para el DNI escaneado.
Sabiendo el URL, no era necesario acceder con clave fiscal al URL, por lo tanto era de acceso público.
Actualmente, dicho URL es como el siguiente (el parámetro que utilizo es ficticio):
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?p=eDTKQvru8XxUGeAotgP2tS2lJ1rbHymI09GFmauTGYo=
Y para consultarlo, es necesario estar logueado en AFIP con Clave Fiscal.
La solución le tomó a la AFIP sólo un par de horas, pero el problema está hace meses, y nuestros datos ya fueron comprometidos.
Actualización 04/01: en su post Fernando muestra el correo con el cual se puso en contacto con AFIP y si bien no se le ha respondido, el error fue solucionado.
Fuente: Fernando Sanz I y II
Al ver mi foto y firma en la ficha, se me ocurrió indagar un poco más sobre la seguridad de mi información accesible desde Internet. En un par de minutos, logré ver foto y firma de un total extraño, buscando un nombre al azar. Mas tarde, descubrí también que es posible acceder al DNI escaneado (el cual no aparece en la ficha personal) y que no es necesario acceder con clave fiscal (es decir, cualquier persona del mundo con acceso a internet, puede acceder sin mayores complicaciones), lo que no pude encontrar son las huellas dactilares.
En este momento estoy enviando un correo a la AFIP para que solucionen el asunto, y mientras retiren mi información y la de todos los ciudadanos afectados, una vez solucionado el inconveniente, publicaré en detalle la sencilla falla de seguridad mencionada.
Les recomiendo tomar las medidas que crean correspondientes si se ven obligados a realizar algún trámite en AFIP y les requieren sus datos biométricos.
Resulta aún mas preocupante al ser obligatorio el reempadronamiento a los contribuyentes con CUIT durante el 2010 (Ah, Feliz año nuevo!), según leí en Clarín y La Nación al profundizar en el tema.
En el mismo sentido, descartó que pudiera haber cuestionamientos en torno de la posible invasión de la privacidad de los contribuyentes con CUIT a partir de todos los datos digitales que manejará el organismo fiscal desde 2010.
Arreglado el problema de seguridad en AFIP.">Arreglado el problema de seguridad en AFIP
Si bien no recibí respuesta alguna al mensaje enviado a [email protected], hoy tempranito (3/1/2011) aparecía desactivado el servicio que provee la información en cuestión (nadie podía ver ni su propia data), y un rato mas tarde, habílitaron nuevamente el servicio, pero con sustanciales mejoras.
Estando solucionado el inconveniente, paso a detallar el problema denunciado y la solución desarrollada por AFIP en un par de horas. Se podía encontrar la siguiente URL:
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=XXXXXXXXXXX&tipo=N
Siendo XXXXXXXXXXX el Nro de CUIT y N el tipo de dato, N podía ser 1 para obtener la Foto, 2 para la Firma, y 4 para el DNI escaneado.
Sabiendo el URL, no era necesario acceder con clave fiscal al URL, por lo tanto era de acceso público.
Actualmente, dicho URL es como el siguiente (el parámetro que utilizo es ficticio):
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?p=eDTKQvru8XxUGeAotgP2tS2lJ1rbHymI09GFmauTGYo=
Y para consultarlo, es necesario estar logueado en AFIP con Clave Fiscal.
La solución le tomó a la AFIP sólo un par de horas, pero el problema está hace meses, y nuestros datos ya fueron comprometidos.
Actualización 04/01: en su post Fernando muestra el correo con el cual se puso en contacto con AFIP y si bien no se le ha respondido, el error fue solucionado.
Fuente: Fernando Sanz I y II
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!