Datos personales expuestos en sitio de ANSES
Hace un tiempo un lector reportó a Segu-Info que el sitio gubernamental argentino de ANSES (Administración Nacional de la Seguridad Social) contenía al menos un script en Javascript con algunos datos personales de sus afiliados, los cuales son utilizados para validar el ingreso de dichos afiliados a ciertas secciones del sitio web.
Desde Segu-Info hemos podido comprobar que efectivamente es así y, en el script público, pueden verse los nombres y apellido de algunas personas así como sus CUIT, utilizados para realizar cierta validaciones en formularios web:
Por ejemplo, en el siguiente formulario se puede ver como efectivamente se llama a ese JS para realizar las validaciones mencionadas:
A continuación también se puede ver que sucede si se ingresa algunos de los números de CUIT involucrados:
Desconocemos los motivos que llevaron a los desarrolladores a realizar dichas validaciones del lado del cliente y exponer datos de algunos ciudadanos, de una forma tan infantil. Quizás simplemente haya sido una validación "temporal" colocada en ambiente de desarrollo pero que posteriormente pasó por error al ambiente de producción.
Si bien los datos expuesto no son críticos, esta situación esto expone los pobres niveles de control que existen en los desarrollos de aplicaciones que sí deberían ser consideradas críticas dentro del sistema gubernamental, ya que se trata con bases de datos con información personal y de seguridad social protegida por ley.
El 24 de mayo pasado, desde Segu-Info hemos intentando ponerlos en comunicación con ANSES y ArCERT para informarles de la situación, pero lamentablemente no hemos recibido respuesta, quizás nunca la recibamos y esto se transforme en otro bug "solucionado por arte de magia", luego de leer este artículo.
Esta es otra situación preocupante que se repite una y otra vez con quienes deseamos colaborar y aportar para que haya mayor seguridad en Internet. Lamentablemente las personas que desean reportar, al encontrarse con esta falta de respuesta, dejan de hacerlo o, peor aún, algunos delincuentes lo aprovechan a su favor para realizar fraudes y estafas.
Esta falta de transparencia en organismos del estado argentino constrasta con la del estado brasileño por ejemplo, que hace poco tiempo remitió directamente una denuncia de Segu-Info a su CERT local para que la misma sea atendida de forma inmediata, aún cuando la misma ni siquiera podía ser considerada de riesgo medio.
Cristian de la Redacción de Segu-Info
Desde Segu-Info hemos podido comprobar que efectivamente es así y, en el script público, pueden verse los nombres y apellido de algunas personas así como sus CUIT, utilizados para realizar cierta validaciones en formularios web:
Por ejemplo, en el siguiente formulario se puede ver como efectivamente se llama a ese JS para realizar las validaciones mencionadas:
A continuación también se puede ver que sucede si se ingresa algunos de los números de CUIT involucrados:
Desconocemos los motivos que llevaron a los desarrolladores a realizar dichas validaciones del lado del cliente y exponer datos de algunos ciudadanos, de una forma tan infantil. Quizás simplemente haya sido una validación "temporal" colocada en ambiente de desarrollo pero que posteriormente pasó por error al ambiente de producción.
Si bien los datos expuesto no son críticos, esta situación esto expone los pobres niveles de control que existen en los desarrollos de aplicaciones que sí deberían ser consideradas críticas dentro del sistema gubernamental, ya que se trata con bases de datos con información personal y de seguridad social protegida por ley.
El 24 de mayo pasado, desde Segu-Info hemos intentando ponerlos en comunicación con ANSES y ArCERT para informarles de la situación, pero lamentablemente no hemos recibido respuesta, quizás nunca la recibamos y esto se transforme en otro bug "solucionado por arte de magia", luego de leer este artículo.
Esta es otra situación preocupante que se repite una y otra vez con quienes deseamos colaborar y aportar para que haya mayor seguridad en Internet. Lamentablemente las personas que desean reportar, al encontrarse con esta falta de respuesta, dejan de hacerlo o, peor aún, algunos delincuentes lo aprovechan a su favor para realizar fraudes y estafas.
Esta falta de transparencia en organismos del estado argentino constrasta con la del estado brasileño por ejemplo, que hace poco tiempo remitió directamente una denuncia de Segu-Info a su CERT local para que la misma sea atendida de forma inmediata, aún cuando la misma ni siquiera podía ser considerada de riesgo medio.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!