Seguridad Informática

Alertan por un hackeo a la base de datos del Estado que puso en riesgo CUITs y contraseñas

Un detalle que ayuda a entender la magnitud del descuido: el sitio no incorporó la medida más básica de seguridad; el Captcha

martes 18 de junio de 2019 - 8:38 pm

Expertos en informática y seguridad expusieron en las redes algunas fallas del sitio de Procrear que permitieron que otros accedan a los datos de CUIT y a la contraseña de trámite de todos los usuarios a través de una base datos recopilada por Anses.

Según informaron desde InfoTechnology, el sitio web de Procrear presentaba varias vulnerabilidades serias que permitían a cualquiera hacer pedidos de información a la base de datos de Renaper sin ningún tipo de control.

El problema comenzó por la desactualización del sistema y las nulas medidas de seguridad del sitio del plan Procrear: si se modificaba levemente la URL del sitio, se podían hacer pedidos de información a la base de datos. Este proceso es fácilmente automatizable por lo que no es de extrañar que ciberdelincuentes hayan descargado todo lo que quisieron del sitio.

Y aunque muchos podrían pensar: “Pero esos datos están a una búsqueda en Google de distancia”, lo cierto es que no es lo mismo. “Hay un dato extra que es el número de trámite de DNI. Quién lo desarollo lo uso como clave para los trámites de Anses. Es como si fuese el código de seguridad de una tarjeta de crédito. Se usa para, por ejemplo, los trámites a distancia”, explicó el tuitero Javier Smaldone.

“Con ese dato se pueden ver los trabajos, aportes y los sueldos de cualquier persona en los últimos años”, ejemplifica el informático.

Por otro lado, si bien los datos se pueden “googlear” no es lo mismo que tener acceso a base de datos actualizada y en un formato fácil de manejar. Esto permite que a los fines prácticos sea mucho más peligroso y utilizable para realizar delitos.

Desde lo técnico, el servicio del Gobierno usa un Web Service para poder facilitar las operaciones de esos datos (como, por ejemplo, poder armar una aplicación que permita consultar en tiempo real y de manera actualizada). Posiblemente, a través de un proceso de ingeniería reversa se encontró que alguna aplicación o servicio rediría al sitio en cuestión. Luego, fue sólo cuestión de para ver cómo respondía ante una demanda de información. Posiblemente, la manera de hacerlo sea aprovechando “bugs” y problemas en versiones desactualizadas del software.

En particular, el servidor del sitio estaba montado bajo el sistema operativo Ubuntu en versión 12.04; una versión que desde hace 2 años no recibía actualizaciones de seguridad.

Otro usuario de Twitter (@HacKan) demostró con detalle que el servidor presentaba más de 50 vulnerabilidades diferentes:

COMENTARIOS