La CNRT revela la identidad de los denunciantes con permisos de Administrador
Cualquier persona puede acceder a la identidad de las personas que denuncian a las empresas de colectivo por ejemplo, en la CNRT, un error , o un sistema a proposito, que da la informaciòn necesesaria para que las empresas identifiquen al denunciante y puedan actuar sobre él.
La CNRT (Comision Nacional De Regulacion del Transporte) es un ente autárquico que en el ámbito de la Secretaría de Transporte controla y fiscaliza el transporte terrestre de jurisdicción nacional. A ella acudimos los usuarios y consumidores de servicios de transporte en caso de ver nuestros derechos vulnerados.
Anoche, y despúes de haber viajado muy mal en el tren de TBA y harto del ruido que no me deja dormir del colectivo 152 me puse a investigar un poco en la red de redes como protestar ante un caso así y llegué al sitio web de la CNRT donde según había leído, hay disponible un formulario de denuncias vía web, que en estos tiempos está tan de moda y que tán bien nos viene a los e-ciudadanos quejosos.
Grande fue mi sorpresa cuando descubrí que entre las opciones de efectuar la denuncia, también está la posibilidad de consultar todas las denuncias hechas con nombre, apellido y DNI, pero no como parte de la una consulta hecha por un usuario común, sinó con privilegios de Administrador, lo que en principio habla de una grave falla al sistema.
Paso a paso:
Actualización Segu-Info: además, las consultas se pueden realizar desde la siguiente URL, que puede ser modificada para cambiar los parámetros de la misma:
Actualización Segu-Info 08/03: luego de nuestra denuncia han cambiado el sitio pero los errores de inyección continúan.
Fuente: Papelones
La CNRT (Comision Nacional De Regulacion del Transporte) es un ente autárquico que en el ámbito de la Secretaría de Transporte controla y fiscaliza el transporte terrestre de jurisdicción nacional. A ella acudimos los usuarios y consumidores de servicios de transporte en caso de ver nuestros derechos vulnerados.
Anoche, y despúes de haber viajado muy mal en el tren de TBA y harto del ruido que no me deja dormir del colectivo 152 me puse a investigar un poco en la red de redes como protestar ante un caso así y llegué al sitio web de la CNRT donde según había leído, hay disponible un formulario de denuncias vía web, que en estos tiempos está tan de moda y que tán bien nos viene a los e-ciudadanos quejosos.
Grande fue mi sorpresa cuando descubrí que entre las opciones de efectuar la denuncia, también está la posibilidad de consultar todas las denuncias hechas con nombre, apellido y DNI, pero no como parte de la una consulta hecha por un usuario común, sinó con privilegios de Administrador, lo que en principio habla de una grave falla al sistema.
Paso a paso:
- http://www.cnrt.gov.ar/index2.htm
- Luego a la izquierda elija Entranet CNRT (a pesar de avisar que la extranet no es de dominio público)
- Elija el Item DENUNCIAS CARGADAS POR USUARIOS.
- Se despliega un menú amarillo a la izquierda .
- Elija URBANO
- Se abre una solapa con opciones y usuarios
- Baje hasta la opción "Administrador"
Actualización Segu-Info: además, las consultas se pueden realizar desde la siguiente URL, que puede ser modificada para cambiar los parámetros de la misma:
http://www.cnrt.gov.ar/bases/abmden8.asp?fcampo=campo15&passcodigo=du&fver=si&fvalor=urbano&fmodify=0&ftipo=urbano">http://www.cnrt.gov.ar/bases/abmden8.asp?fcampo=campo15&passcodigo=du&fver=si&fvalor=urbano&fmodify=0&ftipo=urbano
Actualización Segu-Info 08/03: luego de nuestra denuncia han cambiado el sitio pero los errores de inyección continúan.
Fuente: Papelones
SI entrás con otros usuarios que figuran en la lista, también podés borrar y modificar.
ResponderBorrarSeprin tomo la info de mi blog.
ResponderBorrarEstaria bueno q lo dijeran, salu2
http://papelones.wordpress.com/
Gracias Anonimo,
ResponderBorrarYa hemos cambiado la fuente como corresponde.
Cualquier cosa a disposición.
Cristian
el error ya fue corregido asi que ya no tiene validez
ResponderBorrarAnonimo, lo han arreglado tan bien que ahora solo le quedan los SQL Injection :)
ResponderBorrarCristian
Sigue ahí.. y hay más.. solo hay que mirar más a fondo
ResponderBorrarhttp://papelones.wordpress.com