Información expuesta en servidor de Ministerio de Economía (MECON) - Solucionado
La semana pasada un lector de Segu-Info nos reportó que ciertos directorios de uno de los servidores del Ministerio de Economía de Argentina (MECON) tenía archivos expuestos que revelaban direcciones correos electrónicos de lo que parecía ser una lista de correo de empresas.
Al momento de recibir la denuncia se podía ver que efectivamente cierta cantidad de archivos de texto y HTML podían ser listados. Por supuesto esta información se encontraba pública sin requerir ningún tipo de acceso o login previo:
Si se abría alguno de los archivos TXT se podían ver cientos de direcciones de correo electrónico de usuarios y empresas, que seguramente ya algunos spammers deben estar utilizando:
Desde Segu-Info inmediatamente procedimos a denunciar el caso a ArCERT (sin respuesta) y a la administración web del sitio, quienes amablemente nos ha respondido que el problema estaba siendo verificado y, en el día de hoy, hemos podido confirmar que la información ya no se encuentra en línea y si se intenta ingresar al directorio se solicita login.
Al parecer el mismo servidor y formulario de login ya tuvo un problema de inyección SQL hace un par de meses, tal y como se puede apreciar en esta búsqueda.
Si bien es una lástima que esto continúe sucediendo, tal y como explico en Viagra.gob.ar, también es muy positivo que los responsables respondan y solucionen los problemas.
¡Gracias M. por el reporte original!
Cristian de la Redacción de Segu-Info
Al momento de recibir la denuncia se podía ver que efectivamente cierta cantidad de archivos de texto y HTML podían ser listados. Por supuesto esta información se encontraba pública sin requerir ningún tipo de acceso o login previo:
Al parecer el mismo servidor y formulario de login ya tuvo un problema de inyección SQL hace un par de meses, tal y como se puede apreciar en esta búsqueda.Si bien es una lástima que esto continúe sucediendo, tal y como explico en Viagra.gob.ar, también es muy positivo que los responsables respondan y solucionen los problemas.
¡Gracias M. por el reporte original!
Cristian de la Redacción de Segu-Info
"Al parecer el mismo servidor y formulario de login ya tuvo un problema de inyección SQL hace un par de meses, tal y como se puede apreciar en esta búsqueda."
ResponderBorrares preocupante ver sitios gubernamentales tan vulnerados, también se pueden encontrar 5 entidades solamente buscando en google
"site:seclists.org inject gov.ar inurl:fulldisclosure"
por mas seguridad que tengan, siempre alcanzan a vulnerar algo.
ResponderBorrar