Datos de 13 millones de chilenos en la red (actualizada y corregida)
Actualización: esta noticia ha sido actualizada por la impresición que brindaba.
A través de un sitio polaco llega la noticia de la fuga de datos 13 millones de votantes chilenos.
A principios de este año Chile presentó un registro electrónico de los votantes para qur todos los ciudadanos pueden comprobar sus datos en dicho registro, con solo ingresar su documento o RUN. En respuesta, el servidor brinda la siguiente información del votante: nombres y apellidos, sexo, RUN, dirección, región electoral.
No tomó mucho tiempo tratar de descargar datos de todos los ciudadanos, a través de una consulta con números que consta de nueve caracteres en el formato XX.XXX.XXX-Y, donde X e Y puede ser un número o la letra K.
Posteriormente y fácilmente se rompió el CAPTCHA y se puedo enviar una consulta masiva de toda la base de datos, la que actualmente se puede conseguir en la red TOR en un archivo PDF.
Como puede verse, todo el proceso de robo de la base de datos se basó en una serie de vulnerabilidades similares a las expuestas hace poco tiempo en el CAPTCHA de AFIP Argentina (ya solucionado), donde la publicación y exposición de una base de datos se ahace al público sin tomar las debidas medidas de seguridad.
Actualización: la noticia publicada por el sitio polaco originalmente es errónea o ha sido manipulada ya que en ningún momento se ataco el sitio para extraer la información mencionada. La información de los 13 millones de chilenos, se obtuvo mediante archivos PDF que se encuentran publicados en un sitio de gobierno de Chile. En base a una búsqueda en Google se pueden encontrar todos los PDF mencionados.
Según nos explican varios lectores, en Chile existe una clausula legislativa (Ley 272421) sobre la transparencia del gobierno, donde se debe publicar esta información en un formato electrónico.
Gracias Alexei, Andrés, Shinee, Manuel y varios anómimos por la corrección.
Cristian de la Redacción de Segu-Info
A través de un sitio polaco llega la noticia de la fuga de datos 13 millones de votantes chilenos.
A principios de este año Chile presentó un registro electrónico de los votantes para qur todos los ciudadanos pueden comprobar sus datos en dicho registro, con solo ingresar su documento o RUN. En respuesta, el servidor brinda la siguiente información del votante: nombres y apellidos, sexo, RUN, dirección, región electoral.
Posteriormente y fácilmente se rompió el CAPTCHA y se puedo enviar una consulta masiva de toda la base de datos, la que actualmente se puede conseguir en la red TOR en un archivo PDF.
Como puede verse, todo el proceso de robo de la base de datos se basó en una serie de vulnerabilidades similares a las expuestas hace poco tiempo en el CAPTCHA de AFIP Argentina (ya solucionado), donde la publicación y exposición de una base de datos se ahace al público sin tomar las debidas medidas de seguridad.
Actualización: la noticia publicada por el sitio polaco originalmente es errónea o ha sido manipulada ya que en ningún momento se ataco el sitio para extraer la información mencionada. La información de los 13 millones de chilenos, se obtuvo mediante archivos PDF que se encuentran publicados en un sitio de gobierno de Chile. En base a una búsqueda en Google se pueden encontrar todos los PDF mencionados.
Según nos explican varios lectores, en Chile existe una clausula legislativa (Ley 272421) sobre la transparencia del gobierno, donde se debe publicar esta información en un formato electrónico.
Gracias Alexei, Andrés, Shinee, Manuel y varios anómimos por la corrección.
Cristian de la Redacción de Segu-Info
Posteriormente, fue peor aun , el mismo SERVEL subio los pdf caregorizados por region con toda las personas mayores de 18 años para poder ser facilmente descargados sin necesidad de explotar captchas o ataque automatizado, simplemente descargar el pdf .
ResponderBorrarAbsolutamente inexacta la noticia, ya que ni siquiera existe el CAPTCHA esto es publico desde agosto, les dejo la información para que puedan publicar con exactitud. efectivamente hay datos personales publicados, pero por la estupidez de los políticos y no la habilidad de un hacker..
ResponderBorrarhttp://www.24horas.cl/nacional/director-del-servel-estamos-aplicando-estrictamente-la-ley-272421
La noticia es falsa, no fue necesario romper ningun captcha, los archivos están publicamente disponibles en:
ResponderBorrarhttp://sitio.servel.cl/controls/neochannels/neo_ch2/neochn2.aspx?appinstanceid=320&pubid=1020