Al momento de recibir la denuncia se podía ver que efectivamente cierta cantidad de archivos de texto y HTML podían ser listados. Por supuesto esta información se encontraba pública sin requerir ningún tipo de acceso o login previo:
Si se abría alguno de los archivos TXT se podían ver cientos de direcciones de correo electrónico de usuarios y empresas, que seguramente ya algunos spammers deben estar utilizando:
Desde Segu-Info inmediatamente procedimos a denunciar el caso a ArCERT (sin respuesta) y a la administración web del sitio, quienes amablemente nos ha respondido que el problema estaba siendo verificado y, en el día de hoy, hemos podido confirmar que la información ya no se encuentra en línea y si se intenta ingresar al directorio se solicita login.
Si bien es una lástima que esto continúe sucediendo, tal y como explico en Viagra.gob.ar, también es muy positivo que los responsables respondan y solucionen los problemas.
¡Gracias M. por el reporte original!
Cristian de la Redacción de Segu-Info


"Al parecer el mismo servidor y formulario de login ya tuvo un problema de inyección SQL hace un par de meses, tal y como se puede apreciar en esta búsqueda."
ResponderBorrares preocupante ver sitios gubernamentales tan vulnerados, también se pueden encontrar 5 entidades solamente buscando en google
"site:seclists.org inject gov.ar inurl:fulldisclosure"
por mas seguridad que tengan, siempre alcanzan a vulnerar algo.
ResponderBorrar