El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos. Se podía acceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.
Comentarios
Y van N razones para suprimir este ministerio..
#1 Lo que deberían hacer es cancelar el contrato de la empresa encargada de hacer la página, y pedirle daños y perjuicios.
Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.
No tiene que ver una cosa con otra.
En este caso el responsable es el programador de la página, no el Ministerio.
Otra cosa es que pensemos que tal y como van las cosas, este ministerio tenga razón de ser, pero ese es otro tema.
#8 No funciona si la empresa es egipcia
#8 En este caso el responsable es el programador de la página, no el Ministerio.
perdona pero el culpable en todo caso es la empresa, no el trabajador.
Esto es como si se me estampa el coche por un fallo del vehículo, y denuncio al concesionario al que se lo compré, en lugar de a la marca.
pues por eso mismo, la culpa sería de la marca, no del mecánico que ensambló el motor por decir algo. y ya puestos y desconociendo exactamente el caso, podría hasta decirse que la culpa podría estar hasta en el servidor (configuración) donde estuviera alojada la web por aceptar cierto tipo de urls etc etc y etc... a saber!
solo una cosa está clara: la culpa no es del programador = trabajador.
#28 Perdona, pero una cosa es que la empresa tenga que responder por los actos de sus empleados, y otra que el empleado no tenga ninguna culpa.
Ha programado la página el trabajador, no la empresa.
Que responda la empresa X, no exime que el trabajador Y se irá a la calle por la cagada.
#30 Pues sí. Parece que por el hecho de ser "trabajadores" las personas no tienen responsabilidad de sus actos.
Lo que tengo duda es cómo se actuará en este caso. A ver, si las administraciones meten la pata en Protección de Datos, no reciben sanción económica; las empresas sí. ¿Y si es una web de un organismo público hecha por una empresa? Ni idea...
#8 No, la culpa es del trabajador, pero la responsabilidad es de la empresa. Son conceptos distintos culpa y responsabilidad.
#1 Por mi pueden empezar ya también a suprimirlo, unos €uros que nos ahorramos.
Hola,
Soy el que ha descubierto la vulnerabilidad. El error era tan lamentable como sustituir empleando en este caso FireBug (pero vamos se podía con JavaScritp, empleando un formulario en local, un script en PHP que descargase todo uno a uno modificando el campo, etc). El valor en un input hidden.
Para los links internos se empleaba un formulario con varios campos hidden que se enviaba como POST se abre el FireBug, se localizan los input hidden con nombre beIdentificador, y rcIdentificador, y se cambia el valor, luego le das a enviar, y fuera.
Para evitarlo símplemente habría que verificar el que estos campos pertenezcan al usuario logueado, o mantener la persistencia en la sesión de otra forma no tan lamentable. Pero es demasiado trabajo según parece.
He colgado una captura del código en el FireBug en: http://tras2-desarrollos.es/rbe.png
Un saludo.
#23 ¿Santi?
#25 El primo del portero del Alcorcón.
Venga... a ver cuantos comentarios de "Esto con el Colegio no pasaba"
#2, pues sí, los proyectos de la administración deberían ir visados. Como deberían tener garantizado el tema de la accesibilidad, la validación W3C, etc...
¿Sabe alguien los multazos que está metiendo la APD por este tipo de cosas? Claro que un fallo de estos en una empresa, se lo comen los socios y los empleados si no hay dinero, en un ministerio se lo come el pueblo español mientras los responsables se van de little roses.
https://www.agpd.es/portalwebAGPD/resoluciones/procedimientos_sancionadores/index-ides-idphp.php
Hoy la Administración se está cubriendo de gloria con estos temas: La web de la DGT permite conocer los sancionados por multas de tráfico
La web de la DGT permite conocer los sancionados p...
samuelparra.com¿Existe un ministerio de la vivienda? Nunca me lo hubiera imaginado...
Hola, soy Santi, el que hizo la web...
La caché de Google (por si alguno quiere cotillear el código fuente): http://webcache.googleusercontent.com/search?q=cache:MdIC5sM_eKwJ:rbe.vivienda.es/+rbe+vivienda&cd=1&hl=en&ct=clnk
Me gusta lo poner un formulario distinto para cada botón de selección del idioma. ¿Esto quien lo ha hecho?
Y supongo que la vulnerabilidad pasaría por algo tan tonto como llamar directamente action (info.do) cambiando el campo hidden con el identificador (¿DNI?). Triste.
#14 Todo un ejemplo de las buenas prácticas de programación y diseño.
#20 Otra joyita:
#ffff66">RBE
Al fin llegó el día: un verdadero ERROR INFORMÁTICO de un informático y no la ineptitud del periodista y currito de turno.
Si no paga ningún organismo público el certificado para https, de que os vais a extrañar...
#3, la página de Hacienda tiene varios servidores con certificados self signed y/o imposibles de validar...
#3 Cualquier certificado SSL es igual de seguro que uno de pago. Incluso los auto-firmados.
Únicamente, que para cada "empresa" que los firme, se debe instalar el certificado de Raiz (CA) en el navegador, lo que ocurre esque los de pago (Verisign, RapidSSL, Tawte...) dan una garantía (una responsabilidad) y los navegadores ya incluyen los certificados de raíz.
Lo que deberían hacer, esque la FNMT firme esos certificados y que los navegadores incluyan el certificado Raíz de la FNMT que sirva tanto para webs como DGT, Hacienda, Vivienda, Educación... como para el DNIe.
#10 No es igual de seguro, un certificado autofirmado hace que los accesos a la web puedan ser redireccionados a otro servidor sin que nadie se de cuenta. Vamos, que si tengo un servidor DNS y redirijo agenciatributaria.es al servidor de mi casa, todos los que accedan a la agencia tributaria resolviendo el dominio en mi DNS se comen con patatas el certificado que acabo de generarme, ya que están acostumbrados a que el del servidor real dé el mismo error.
Por otra parte, no es viable que cada país emita sus CA, ¿tendríamos que tener todos instalados los de todos los países del mundo? Yo creo que los debería emitir la unión europea, por ejemplo.
#10 Eso no es posible porque el DNIe no lo certifica la FNMT (que sería lo lógico, porque a efectos prácticos es igual que el certificado digital) sino la Dirección General de la Policía.
Que se localice al ingeniero informático que firmó el proyecto y se depuren responsabilidades... ah no...
#27 Qué razón tienes, aquí no ha pasado ni media, puesto que los informáticos no tenemos colegio porque las autoridades no lo consideran una ingeniería como las otras.
Si nos tenemos que aguantar nosotros con el intrusismo laboral de gente con otros estudios, se tienen ahora ellos que aguantar con gente que hace webs con el dreamweaver.
Y que conste que echando un vistazo al código de la página, considero que es una auténtica chapuza tras otra.
Ahora entiendo por que no me fian los cubatas...
Que los denuncien a Protección de Datos, que por ser un Ministerio no se les puede exculpar por su incompetencia.
Parece el Ministerio de la Videncia
El sitio web del Ministerio de la Vivienda que es esto..
¿Como va a el tema? Eso nos pasa a cualquiera de los mortales y la AEPD viene con el cuchillo de combate a rajarnos pero si le pasa al gobierno aqui no pasa nada
Que se vayan a tomar por culo
tanto que nos dan por saco con la ley de protección de datos y ahora meten la gamba. pero claro no creo que les sancionen...
Eso sin contar con que la página, por mucho que hablen de empresa, lo mismo la ha hecho el típico primo/sobrino que sabe de ordenadores, de algún jefazo. Total, si aquí cualquiera sabe hacer webs, es algo facilísimo que no requiere de análisis de seguridad ni nada...
Ahora van a cambiarlo de nombre será el de misterio de la vivienda.
No me pagan desde Noviembre... Dicen que tengo incidencias con la Agencia Tributaria, pero es mentira, yo tengo todas mis cuentas al corriente con la Ag.Trib.