"SoftwareLibreconCFK": un monumento al manejo incorrecto de datos
Muchas veces hemos mencionado aquí el grado de irresponsabilidad con el cual se desarrolla aplicaciones web en organizaciones públicas y privadas y en este caso nuevamente debo remarcar este tipo de errores.
Ante todo quiero remarcar que este post no tiene ninguna connotación política (solo técnica) y no tengo nada contra el objetivo del proyecto en defensa del software libre y, por el contrario, cualquier medida que impulse su uso en forma responsable ha contado siempre con mi apoyo desde Segu-Info.
El sitio que nos ocupa "Software Libre con Cristina" (llevado adelante por un particular y no gubernamental) al parecer tiene como objetivo crear una lista de adhesiones para que se use software libre en el gobierno pero, lamentablemente se han cometido un par de grandes errores al implementar la aplicación Drupal, sobre el cual está montado el sitio web.
Primer error: la lista de adhesiones se puede modificar y cualquier usuario sin registro puede cambiar libremente y sin ningún tipo de control, los datos previamente ingresados por otro usuario.
Aquí se viola el principio más básico de cualquier ingreso de datos: sólo alguien con los permisos adecuados debería poder editar esa información.
El segundo error, que considero aún más crítico que el anterior, es que cualquiera puede visualizar datos de los usuarios registrados (nombre, apellido, correo electrónico, DNI, y Localidad), lo cual es oro en polvo para los delincuentes que no dudarán en utilizarlos para hacer ataques de Phishing y robo de identidad.
Por otro lado al no haber ningún tipo de control de CAPTCHA o similar, es trivial hacer una aplicación que descargue la base de datos de todos los adherentes.
El tercer tema que habría que analizar y dejo la posta para algún abogado entendido es, ¿qué sucede con la base de datos de usuarios? ¿la protección de datos personales no aplica? y ¿la Ley de Habeas Data?
Este sitio web demuestra una vez más la irresponsabilidad con que se manejan los datos sensibles de los ciudadanos y la falta de concientización existente de ambas partes: de quien desarrolla la aplicación y de quien ingresa sus datos y luego se asombra de que le llega spam o cosas peores.
Actualización: ya hemos avisado a los administradores del sitio para que revean los puntos descriptos.
Actualización: los responsables del sitio han corregido la página de adhesiones para que no se pueda editar pero los demás errores citados permanecen.
Actualización 21/06: debido a ciertos comentarios sobre este post, nuevamente aclaro que este post habla de un sólo sitio que es hxxp://www.softwarelibreconcfk.com.ar/ y bajo ningún punto de vista es un ataque político ni al gobierno ni a la cultura del software libre.
Cristian de la Redacción de Segu-Info
Ante todo quiero remarcar que este post no tiene ninguna connotación política (solo técnica) y no tengo nada contra el objetivo del proyecto en defensa del software libre y, por el contrario, cualquier medida que impulse su uso en forma responsable ha contado siempre con mi apoyo desde Segu-Info.
El sitio que nos ocupa "Software Libre con Cristina" (llevado adelante por un particular y no gubernamental) al parecer tiene como objetivo crear una lista de adhesiones para que se use software libre en el gobierno pero, lamentablemente se han cometido un par de grandes errores al implementar la aplicación Drupal, sobre el cual está montado el sitio web.
Primer error: la lista de adhesiones se puede modificar y cualquier usuario sin registro puede cambiar libremente y sin ningún tipo de control, los datos previamente ingresados por otro usuario.
Aquí se viola el principio más básico de cualquier ingreso de datos: sólo alguien con los permisos adecuados debería poder editar esa información.
El segundo error, que considero aún más crítico que el anterior, es que cualquiera puede visualizar datos de los usuarios registrados (nombre, apellido, correo electrónico, DNI, y Localidad), lo cual es oro en polvo para los delincuentes que no dudarán en utilizarlos para hacer ataques de Phishing y robo de identidad.
Por otro lado al no haber ningún tipo de control de CAPTCHA o similar, es trivial hacer una aplicación que descargue la base de datos de todos los adherentes.
El tercer tema que habría que analizar y dejo la posta para algún abogado entendido es, ¿qué sucede con la base de datos de usuarios? ¿la protección de datos personales no aplica? y ¿la Ley de Habeas Data?
Este sitio web demuestra una vez más la irresponsabilidad con que se manejan los datos sensibles de los ciudadanos y la falta de concientización existente de ambas partes: de quien desarrolla la aplicación y de quien ingresa sus datos y luego se asombra de que le llega spam o cosas peores.
Actualización: ya hemos avisado a los administradores del sitio para que revean los puntos descriptos.
Actualización: los responsables del sitio han corregido la página de adhesiones para que no se pueda editar pero los demás errores citados permanecen.
Actualización 21/06: debido a ciertos comentarios sobre este post, nuevamente aclaro que este post habla de un sólo sitio que es hxxp://www.softwarelibreconcfk.com.ar/ y bajo ningún punto de vista es un ataque político ni al gobierno ni a la cultura del software libre.
Cristian de la Redacción de Segu-Info
Muy probablemente sea una movida de Micro$oft para despues rasgarse las vestiduras diciendo: "lo ven?, se lo dijimos"...
ResponderBorrarEl título del post sin dudas tiene connotaciones políticas muy intencionadas, ingenuo no sos. Nada de comillas ni que dé a entender de que se trata de un site que no es del gobierno sino todo lo contrario: una redacción sensacionalista que busca impactar contra el gobierno. En fin, nada novedoso.
ResponderBorrarChapeti, voy a asumir que lo tuyo fue irónico :)
ResponderBorrarJulio, la libertad es eso, que yo escriba, que vos leas y que si te gusta vuelvas :)
Cristian
¿El tema era la libertad? No. Afirmás que el post no tiene connotaciones políticas y niego que así sea. Inducir a la confusión entre un site independiente con CFK y su política de software libre con un título sabidamente sesgado es hacer política. Con todo derecho, sólo que negarlo no me parece honesto.
ResponderBorrarHace un tiempo a la AFIP se le filtraban datos sensibles por medio de su aplicacion web desarrollada con software no libre.
ResponderBorrarEntonces? Humildemente me parece que el termino software libre en el titulo esta demas.
Saludos.
Anónimo 14/06/12 13:50,
ResponderBorrarNo te confundas; el sitio web criticado en la nota por las fallas de seguridad, se llama así "Software libre con Cristina" y la URL casi igual: http://www.softwarelibreconcfk.com.ar
No hay motivo de crítica al título del post, en todo caso la crítica válida es hacia ese sitio, por haberse puesto en linea con tan elementales y evidentes fallas de seguridad.
En todo caso se deberían sentir ofendidos los amantes del software libre, por la mala propaganda, :-).
@Julio ¿el título del post sin dudas tiene connotaciones políticas? Si así se llama la web de la que Cristian está exponiendo sus fallas de seguridad.
ResponderBorrarGuauuu, el tema es el titulo de la nota, no los arrogantes cultores del SL en sus desmanejos corporativos colectivos.
ResponderBorrarEs claro la tribuna es mas grande que el arco, es mas facil patear la pelota que embocarla.
Saludos privativos.
Ya que noto q sabés te quería hacer una pregunta ¿tenés idea de por qué aparecen en la página de la AFIP datos incorrectos, mejor llamados "truchos"? por ejemplo con nº de DNI redondos. Ya sé q sólo son datos y no quiere decir q se hayan emitido DNI, pero ¿pq o cómo pasó esto?
ResponderBorrarHola Anonimo, puedes ver los detalles aquí:
ResponderBorrarhttp://blog.segu-info.com.ar/2012/06/captchas-predecibles-en-afip-y.html
Cristian