16 nov. 2020

Allanaron a quien reveló la exposición de datos en Sistema de Pago Electrónico RAC en Córdoba (AR)

A fines de octubre se conoció que los datos personales de 54 mil usuarios del sistema de pago electrónico de Caminos de Sierras –empresa estatal que gestiona la Red de Accesos a Córdoba (RAC) – estuvieron expuestos. El especialista en informática Adrián Ruiz encontró esa vulnerabilidad en el sistema y la reportó.

Adrián es un cordobés que usa habitualmente el servicio de la concesionaria de la Red de Accesos a Córdoba (RAC). Hace un par de meses revisando su factura desde el sitio web de la empresa, detectó que era muy fácil acceder a los datos personales de otros usuarios.

Chequeó el procedimiento con datos de amigos y compañeros de trabajo y ¡voilà! Allí estaban nombre completo, DNI, patente, modelo de vehículo, domicilio, número de tarjeta e incluso fecha y hora exacta en la que el automóvil registrado pasó por el peaje (y si fue "desde" o "hacia" Córdoba). Además, descargó una base de datos que pesa 20 GB.

Así accedió a datos como la cantidad de usuarios, vehículos y facturas:

  • Usuarios únicos: 54.214 (DNI/CUIT)
  • Patentes: 49.706
  • Facturas: 95.962

Luego de no obtener respuesta de la empresa, acudió a la prensa. Tras publicarse el hecho, se puso a disposición de la firma para colaborar con el problema que había detectado y se reunió con los técnicos para mostrarles cuál fue el inconveniente. El viernes, su domicilio fue allanado por la Justicia provincial.

A las 7 de la mañana, dos oficiales llegaron hasta la casa familiar de Ruiz y mostraron una orden de allanamiento. Buscaban las bases de datos que habían quedado expuestas en la web de Caminos de la Sierras con información sensible de clientes que pagan el peaje con medios digitales. Dos peritos informáticos acompañaron la tarea. Revisaron su computadora personal y su teléfono, y se retiraron pasadas las 15. Ocho horas duró el procedimiento.

Una semana después de que se publicara la filtración, la firma encargada de la administración de la RAC, patrocinada por el asesor letrado de la empresa, el abogado penalista Benjamín Sonzini Astudillo, presentó una denuncia ante la Justicia.

"Nos ponemos a disposición de la Fiscalía para que investigue esta situación y por eso presentamos la denuncia. Sin sindicar a nadie sino en resguardo la gente que tiene confiados sus datos a la empresa. Y demostrar que no ha ocurrido esa exposición", dijo a este diario, Sonzini Astudillo.

Tras conocerse que se había producido una exposición de datos personales de 54 mil usuarios, la firma reconoció en su momento el episodio, y Jorge Alves, presidente de Caminos de las Sierras, dijo que podría haber ocurrido durante el cambio de un servidor para mejorar las condiciones de seguridad.

Andrés Piazza, abogado especialista en tecnologías de la información y la comunicación (TIC), explicó: "El acceso indebido a los sistemas de información es considerado un delito. Esta figura se utiliza sistemáticamente para disuadir (chilling effect, en inglés) a las personas que se dedican a mostrar vulnerabilidades de sistemas informáticos críticos sin quebrantarlos, y no necesariamente porque hayan producido esos delitos que están tipificados. Pero hay un patrón de falta de garantías para quienes informan, que se pueden convertir en perseguidos penalmente, y esto hace que se disuada este tipo de prácticas que demuestran la exposición de datos de personas, tanto en ámbitos privados como del Estado".

El hecho guarda una gran similitud con la exposición de datos de Movypark que La Voz reveló un año atrás y finalmente acabó con la rescisión del contrato de la empresa para administrar el servicio de estacionamiento medido de la ciudad por parte de la Municipalidad de Córdoba.

En la nota publicada por este medio a principios de noviembre, Alves prefirió no referirse al episodio como un ataque. Pero acto seguido aclaró que el problema había sido subsanado y que todos los datos estaban resguardados. Este medio intentó ayer por la tarde contactarse con él, sin éxito.

La investigación está a cargo de la Fiscalía en Cibercrimen a cargo de Franco Pilnik. Tampoco se pudo lograr una declaración del fiscal.

Antecedente

"Hay algo muy simple: si se persigue a quien pone de manifiesto la existencia de un problema, eso no contribuye a la solución. Está claro que el delincuente que encuentra eso no lo va a denunciar. Pero el ciudadano debe tener una forma de avisar, ya que afecta a toda la comunidad. Está bien que acuda a los medios", señaló el consultor informático Javier Smaldone, quien denunció ante la Justicia la filtración de los datos del Ministerio de Seguridad de la Nación y de la Policía Federal.

Luego de ese hecho, la Justicia allanó en 2019 el domicilio de Smaldone, en calidad de sospechoso por sus comentarios públicos sobre dicho problema.

Fuente: La Voz

2 comentarios:

  1. Muchas veces resulta que la vulnerabilidad que se reporta estaba ahí como parte de un curro ilegal donde hay $$$$$ ! Entonces surge esta incongruencia de intentar perseguir legalmente al informante de la vulnerabilidad!

    ResponderBorrar
  2. Por lo que dice la nota, es que no lo allanan por reportar, sino por el delito que comete PREVIO a reportar.

    Es decir, el tipo por lo que dice la nota accede ilegitimamente (tal lo establece el código penal), ve información privada de terceros (afectación a la confidencialidad)... ¡Y DESCARGA 20 GB DE DATOS!

    Dale...

    Osea esta todo bien, una cosa es ver algo y avisar, bueno, ta bien. Pero otra es manipular inputs de la URL para forzar a que descargue contenido que no esta dirigido a uno.

    No importa si es facil o dificil acceder al contenido, tampoco es dificil entrar por la ventan de una casa, eso no implica que sea legal hacerlo.

    Pero lo mas preocupante es como se ve en la nota como algunos quiere legitimar el delito y decir que "lo allanan por reportar"... si previo al reporte hay un delito, es indistinto que reporte o no, el delito se hizo.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!