Expertos confirmaron que el sitio de datos de seguridad social del gobierno presentaba serias fallas y desactualizaciones respecto a la seguridad.

Procrear con fallas

Por medio de redes sociales, varios expertos en informática y seguridad expusieron algunas graves fallas del sitio de Procrear que permitió acceder a los datos de CUIT y a la contraseña de trámite de todos los usuarios a través de una base datos recopilada por Anses. El sitio web de Procrear presentaba varias vulnerabilidades serias que permitían a cualquiera hacer pedidos de información a la base de datos de Renaper sin ningún tipo de control.

11

Javier Smaldone del area de programación, conocido por su militancia respecto a las vulnerabilidades del sistema de voto electrónico, fue quien hablo en redes sociales. En diálogo con Infotechnology, Smaldone confirmó que "la vulnerabilidad ya era conocida por varias personas, a mi me llegó por un tercero que lo escucho de dos más. Si lo hubiera encontrado yo, lo reportaba pero el problema persiste hace al menos 5 meses desde que se montó el sitio".

La entrada fue el sitio del plan Procrear. Por un problema de desactualización de sistema y prácticamente nulas medidas de seguridad, al modificar levemente la URL del sitio, se podían hacer pedidos de información a la base de datos.

cuit_1.png_1239946685

En la imágen se puede ver la modificación a la URL que suelen usar los usuarios. Al realizar un pedido a la base, escribiendo "ValidacionesExternas?cuil=" y el número, se podían acceder a los datos.

Hay un dato extra que es el número de trámite de DNI. Quién lo desarollo lo uso como clave para los trámites de Anses. Es como si fuese el código de seguridad de una tarjeta de crédito. Se usa para, por ejemplo, los trámites a distancia, explicó Smaldone.

"Con ese dato se pueden ver los trabajos, aportes y los sueldos de cualquier persona en los últimos años", ejemplifica el informático.

Todo nos lleva a que el Gobierno usaban un Web Service para poder hacer más facíl las operaciones de esos datos (como, por ejemplo, poder armar una aplicación que permita consultar en tiempo real y de manera actualizada). Posiblemente, a través de un proceso de ingeniería reversa se encontró que alguna aplicación o servicio rediría al sitio en cuestión. Luego, fue sólo cuestión de para ver cómo respondía ante una demanda de información. Posiblemente, la manera de hacerlo sea aprovechando "bugs" y problemas en versiones desactualizadas del software.

Un detalle importante: el sitio no incorporó la medida más básica de seguridad; el Captcha (un proceso que no puede saltearse usando automatización).

El servidor del sitio estaba montado bajo el sistema operativo Ubuntu en versión 12.04; (versión que hace mas de 2 años no recibía actualizaciones de seguridad).

El servidor presentaba más de 50 vulnerabilidades diferentes.

canva-photo-editor--12-

Según parece, luego de la exposición en redes sociales el día viernes, ya no es posible acceder a los datos al modificar la URL del sitio.

Fuente: INFOTECHNOLOGY.