Canal de Telegram

7 mar 2012

Segu-Info » , , , » La CNRT revela la identidad de los denunciantes con permisos de Administrador

La CNRT revela la identidad de los denunciantes con permisos de Administrador

7 mar 2012, 11:13:00 a.m.   6 comentarios
  , , ,  
Cualquier persona puede acceder a la identidad de las personas que denuncian a las empresas de colectivo por ejemplo, en la CNRT, un error , o un sistema a proposito, que da la informaciòn necesesaria para que las empresas identifiquen al denunciante y puedan actuar sobre él.

La CNRT (Comision Nacional De Regulacion del Transporte) es un ente autárquico que en el ámbito de la Secretaría de Transporte controla y fiscaliza el transporte terrestre de jurisdicción nacional. A ella acudimos los usuarios y consumidores de servicios de transporte en caso de ver nuestros derechos vulnerados.

Anoche, y despúes de haber viajado muy mal en el tren de TBA y harto del ruido que no me deja dormir del colectivo 152 me puse a investigar un poco en la red de redes como protestar ante un caso así y llegué al sitio web de la CNRT donde según había leído, hay disponible un formulario de denuncias vía web, que en estos tiempos está tan de moda y que tán bien nos viene a los e-ciudadanos quejosos.

Grande fue mi sorpresa cuando descubrí que entre las opciones de efectuar la denuncia, también está la posibilidad de consultar todas las denuncias hechas con nombre, apellido y DNI, pero no como parte de la una consulta hecha por un usuario común, sinó con privilegios de Administrador, lo que en principio habla de una grave falla al sistema.
Paso a paso:
  1. http://www.cnrt.gov.ar/index2.htm
  2. Luego a la izquierda elija Entranet CNRT (a pesar de avisar que la extranet no es de dominio público)
  3. Elija el Item DENUNCIAS CARGADAS POR USUARIOS.
  4. Se despliega un menú amarillo a la izquierda .
  5. Elija URBANO
  6. Se abre una solapa con opciones y usuarios
  7. Baje hasta la opción "Administrador"
Ahí se veran las denuncias y si elige, "Imprimir los Item seccionados", se verán los datos del denunciante.

Actualización Segu-Info: además, las consultas se pueden realizar desde la siguiente URL, que puede ser modificada para cambiar los parámetros de la misma:
http://www.cnrt.gov.ar/bases/abmden8.asp?fcampo=campo15&passcodigo=du&fver=si&fvalor=urbano&fmodify=0&ftipo=urbano">http://www.cnrt.gov.ar/bases/abmden8.asp?fcampo=campo15&passcodigo=du&fver=si&fvalor=urbano&fmodify=0&ftipo=urbano


Actualización Segu-Info 08/03: luego de nuestra denuncia han cambiado el sitio pero los errores de inyección continúan.
Fuente: Papelones

Suscríbete a nuestro Boletín

6 comentarios:

  1. Anónimo7 de marzo de 2012, 12:19 p.m.

    SI entrás con otros usuarios que figuran en la lista, también podés borrar y modificar.

    ResponderBorrar
  2. Anónimo7 de marzo de 2012, 8:14 p.m.

    Seprin tomo la info de mi blog.
    Estaria bueno q lo dijeran, salu2

    http://papelones.wordpress.com/

    ResponderBorrar
  3. SeguInfo7 de marzo de 2012, 8:21 p.m.

    Gracias Anonimo,
    Ya hemos cambiado la fuente como corresponde.
    Cualquier cosa a disposición.

    Cristian

    ResponderBorrar
  4. Anónimo8 de marzo de 2012, 10:51 a.m.

    el error ya fue corregido asi que ya no tiene validez

    ResponderBorrar
  5. SeguInfo8 de marzo de 2012, 1:13 p.m.

    Anonimo, lo han arreglado tan bien que ahora solo le quedan los SQL Injection :)

    Cristian

    ResponderBorrar
  6. Anónimo8 de marzo de 2012, 11:59 p.m.

    Sigue ahí.. y hay más.. solo hay que mirar más a fondo

    http://papelones.wordpress.com

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!