2 jun. 2020

Vulnerabilidades en Trámites a Distancia (TAD) permitían el acceso a datos personales de terceros

INTRODUCCIÓN

La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna.

El desarrollo del presente documento se ha realizado por Martín Aberastegue (@Xyborg) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema.

RESUMEN

En el siguiente documento se intenta describir el alcance y proceso de explotación de la vulnerabilidad detectada. El nivel de detalle mostrado es con el fin de ser lo más claro posible sobre la naturaleza del error, y no así facilitar su aprovechamiento.

Se proveen ejemplos de códigos de pruebas de concepto de modo de demostrar el poco conocimiento técnico necesitado para la extracción masiva de estos datos.

OBJETIVOS

Dejar en claro el problema y ubicación de los archivos causantes del mismo.

Lograr que se solucione la vulnerabilidad en la plataforma y se deje de exponer información privada de los usuarios de la misma.

DESARROLLO

Este error puede ser explotado desde el sitio Trámites a Distancia, cuyo uso se vio disparado con el auge de los trámites temporarios para circular durante la cuarentena. Esto último incrementó su adopción, agrandando la base de datos disponibles para su explotación. Es decir, hoy tenemos más datos personales de residentes argentinos que teníamos hace 2 meses atrás.

La web en cuestión es: https://tramitesadistancia.gob.ar/
A la misma se puede acceder conectándose a través de la plataforma Autenticar.gob.ar, que permite el acceso federado (Identidad Federada) utilizando la modalidad “Single Sign-on” (SSO).

Los proveedores de autenticación habilitados actualmente para este fin son:
  • AFIP
  • ANSES
  • MI ARGENTINA
  • MI DNI / RENAPER
  • NIC ARGENTINA (NO RESIDENTES)
  • BORA (Parece estar fuera de servicio)

Origen del problema

Este se encuentra en varios de los servicios consultados por el sitio para mostrar la información en pantalla, uno de ellos por ejemplo es el que es llamado al visitar la sección “Mis Datos”, este servicio devuelve la información del usuario cuando se la solicita enviando su ID.

El ID es numérico y secuencial, es decir que los primeros usuarios comienzan en 1 y los últimos registrados rondan los 2.000.000. Cuando pedimos estos datos, el diseño ideal sería que dicho servicio o API compruebe que quien solicita la información tiene permisos suficientes para acceder a la misma, pero esto en la práctica no sucede, alcanza con modificar ese número identificador para visualizar los datos de otro usuario.

https://tramitesadistancia.gob.ar/tad2-rest/persona/10001
Donde ‘10001’ es el ID del usuario solicitado.

Por otro lado, existe otro Web Service (WS) donde es posible acceder a los datos si uno conoce el CUIT de la víctima u objetivo, obteniendo gracias a este el ID de dicho usuario que puede ser utilizado en combinación con el WS anterior para extraer la información personal almacenada en la base de datos.

El artículo y análisis completo se puede descargar desde aquí


5 comentarios:

  1. Buenas, desde hace varios dias no se ven las imagenes en sus posts.
    Cuando abro la imagen en una nueva pestaña Google me da un error 403.

    Es solo a mi que me pasa?

    ResponderEliminar
    Respuestas
    1. Hola Ricardo.
      A mi me pasa lo mismo, estoy con Chrome (última actualización)
      Saludos.

      Eliminar
    2. Hola, ya se deberia haber solucionado. F5 please.

      Eliminar
    3. Perfecto, gracias!

      Eliminar
  2. Anónimo3/6/20 08:36

    A mi me pasa lo mismo que a Ricardo

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!