.
estás leyendo...

En primera persona

Un fallo de seguridad compromete los datos de millones de españoles

Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima.
El error no fue corregido a pesar de ser puesto de manifiesto en sede judicial; tuvo que intervenir la Agencia Española de Protección de Datos para que, tras más de un año, subsanaran el fallo de seguridad.

Siempre he criticado que las grandes Administraciones Públicas, las que manejan millones de datos personales de nosotros, no se toman en serio esto de la protección de datos de carácter personal; y esto así, al menos mi opinión, porque no son conscientes de lo valioso de la información que tratan y además parece no importarles lo que ocurra con ella.
Y prueba de ello es lo que hoy voy a contar, en primera persona.

Allá por octubre de 2007, como uno más de los varios millones de españoles, solicité una prestación contributiva por desempleo en Murcia.

Tras ser concedida se me entregó un “justificante de demanda de empleo” (DARDE), en el cual figuraba la fecha en la que me había dado de alta en el Servicio Público de Empleo Estatal (SPEE).
Y aquí comenzaron las irregularidades.

Se me informó que debía renovar la tarjeta (DARDE) en las fechas indicadas en ese documento y que podía hacerlo por Internet; para ello, debía acudir a la sección de “Tu oficina SEF en casa” de la dirección web http://www.sefcarm.es.
Una vez allí, sólo tendría que introducir mi número de DNI y como contraseña la fecha en la que me había dado de alta en el SPEE, o sea, la fecha que figuraba en el DARDE.

A cualquier aficionado en seguridad ya le debe llamar la atención que para acceder a un servicio público con cierta trascendencia para el ciudadano, la contraseña sea una fecha y encima impresa en un papel que tienes que llevar de un lado para otro y conservarlo durante muchos meses.
Pues sí, este mecanismo de “autenticación” perdura actualmente, siendo imposible modificar la “contraseña” (fecha de alta). Excuso decir, que aun desconociendo la fecha, ¿cuántas posibles combinaciones puede haber para un ciudadano medio? ¿2000? ¿3000? Pero esto es otra historia…

No había salido aun de mi asombro, cuando accedo al sistema: pongo mi DNI y la fecha correspondiente.

Al entrar se tienen una serie de servicios disponibles, me centraré aquí en el que me interesaba: renovación de la demanda de empleo (o consulta de de la demanda, es lo mismo).
Hacemos click, aparecen todos mis datos personales, incluidos los de formación, cursos, empresas en las que he podido trabajar, carnet de conducir, etc.
Solo me falta darle a “Renovar” y ya está, demanda de empleo renovada.

¿Problema?

Pues no explico el problema, indico lo que enviaba el navegador web justo después de hacer click sobre “Renovación de la demanda”:

GET http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos

Donde he puesto YYYYYYY figuraba mi número de DNI.

No hace falta tener una imaginación ciclópea para probar a poner en el navegador, directamente, esa misma dirección, pero en vez de YYYYYY (mi DNI) poner otro cualquiera, por ejemplo ZZZZZZZ, resultado: aparecen todos los datos personales del titular del DNI ZZZZZZZZ, incluyendo información sensible muy golosa para empresas de seguros, marketing y acreedores.

Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.

Este fallo de seguridad lo reporté a través del formulario de contacto que figuraba en la web del SPEE, sin obtener respuesta alguna a día de hoy.

Por otro lado y con ocasión de un pleito que inicié contra el SPEE, puse de manifiesto en la demanda y en la reclamación previa este fallo de seguridad; además, para que vieran lo sencillo que era, adjunte un CD con una grabación, paso a paso y explicando lo que hacía, para que tanto el juez como el SPEE vieran claro el problema. El resultado en el juicio: el abogado del Estado le dijo a su señoría que los fallos de seguridad existen y que tenemos que convivir con ellos, y que si un hacker quería podía entrar en la NASA y en el FBI, que la inseguridad informática no se puede evitar. El juez por su parte indicó en la Sentencia que “los principios de seguridad e intimidad, en ningún caso, deben prevalecer sobre los de transparencia, veracidad, legalidad y solidaridad“.

Misteriosamente, a pesar de haberse celebrado el juicio, el fallo de seguridad seguía sin resolverse (ya habían transcurrido más de 7 meses).

Esto ya me lo imaginaba, así que casi simultáneamente a la demanda jurisdiccional interpuse denuncia ante la Agencia Española de Protección de Datos por el problema de seguridad, aportando también el mismo CD.

De esta vía destaco algunas de las alegaciones que hizo el SPEE:

“El denunciante logró el acceso a los datos de los demandantes de empleo modificando el código fuente”

“El fallo se pudo llevar a cabo gracias a una reingeniería del sistema, utilizando ciertas capacidades de los navegadores web para observar el código fuente intercambiado entre dicho navegador y el servidor web del Sistema Nacional de Empleo y además modificación del código fuente para suplantar el DNI del usuario por un segundo DNI”.

La Agencia Española de Protección de Datos le pregunta al SPEE, que si a su juicio, “para ver el código fuente de una página web se requieren de extensos conocimientos de programación informática, o si se debió utilizar alguna herramienta especial” (jejeje, la AEPD ironiza).

El SPEE responde que:

“El denunciante usó lo que en el lenguaje informático se denomina un ataque de fuerza bruta, necesario para conocer los números de DNI. Además, el denunciante puede ser un experto en la materia como revela que dispone de una página web: www.samuelparra.com

Sin embargo, la parte que más me gusta de la Resolución de la AEPD es la siguiente, en el Fundamento de Derecho Tercero:

“En lo que respecta a las alegaciones del SPEE que el acceso se produce por el denunciante, que dispone de una página web sobre protección de datos, es experto y tiene conocimientos amplios en la materia, se debe señalar que lo que esta persona desarrolló es una puesta a prueba del sistema y de sus datos, lo cual debía haber hecho el SPEE previamente a facilitar servicios de consulta… Lo que sí se acredita es que tanto en el CD como a través de los servicios de inspección, incluso con posterioridad a que el SPEE tuviera noticia a través de la reclamación previa y demanda ante el Juzgado, el sistema era accesible, hasta agosto de 2009″.

Finalmente la AEPD termina en declarar que se ha vulnerado gravemente el artículo 9 de la Ley Orgánica de Protección de Datos, es decir, el principio de seguridad. Además se declaran otras infracciones más que si el lector está interesado podrá consultar directamente en la Resolución.

Yo destacaría de este caso lo siguiente:

1: lo que tarda la Administración en reaccionar y reparar: más de un año
2: el poco interés en proteger los datos personales de los ciudadanos porque este fallo de seguridad es de una simplicidad extrema y no lo repararon hasta que se las vieron venir.

El diario El Mundo, en su edición del domingo 7 de marzo ha publicado esta noticia.

La Resolución 02714/2009 por la que se declara la infracción al SPEE aun no está disponible en la página web de la AEPD, pero se puede descargar desde aquí. (ojo, casi 10 megas).

A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho.

Comentarios

60 comentarios en “Un fallo de seguridad compromete los datos de millones de españoles”

  1. Llevan dos años y medio gestionándose.

    Puedes ver el proceso (y las demoras) en https://bugzilla.mozilla.org/show_bug.cgi?id=435736

    Lo que realmente da miedo es que da la impresión de que no tengan conciencia de su importancia.

    Escrito por ?ngel | Jueves, 21 octubre 2010, 0:16
  2. PUF.MIEDO ME DA. Con decirte que si entras en cualquier página estatal , por ejemplo esta https://www.citapreviadnie.es/ desde mozilla firefox te sale este mensaje de bien benida.Como para fiarse de ellos.

    Esta conexión no está verificada

    Ha pedido a Firefox que se conecte de forma segura a http://www.citapreviadnie.es, pero no se puede confirmar que la conexión sea segura.
    Normalmente, cuando se intente conectar de forma segura, los sitios presentan información verificada para asegurar que está en el sitio correcto. Sin embargo, la identidad de este sitio no puede ser verificada.

    ¿Qué debería hacer?
    Si normalmente accede a este sitio sin problemas, este error puede estar ocurriendo porque alguien está intentando suplantar al sitio, y no debería continuar.
    Detalles técnicos
    http://www.citapreviadnie.es usa un certificado de seguridad no válido.

    No se confía en el certificado porque no se confía en el certificado emisor.

    (Código de error: sec_error_untrusted_issuer)

    Entiendo los riesgos

    Escrito por la cabra | Martes, 19 octubre 2010, 1:40
  3. Lo que está claro es que ni las administraciones o empresas públicas dan ejemplo en el cumplimiento de la Ley. La diferencia está en que, a veces, no reciben el mismo trato que las privadas, o, en ocasiones, saben como salir mejor parados de las sanciones. En esto como en todo, hay rangos superiores e inferiores….

    Escrito por malena | Viernes, 7 mayo 2010, 18:16
  4. Hola Pit. Sí, yo también recuerdo esos comentarios que nos cruzamos, pero no es incompatible una cosa con la otra ¿no?

    Escrito por Samuel Parra | Domingo, 25 abril 2010, 15:19
  5. Samuel, estaba leyendo esto:
    http://www.iuriscivilis.com/2010/04/proteccion-de-datos-personales-iberia.html

    y me acordé de ti. Recuerdo haber contado aquí que un inspector me habia dicho que el DS era ley para la empresa. Me respondiste que las medidas de seguridad eran finalistas (deber de resultado), segun ha manifestado reiteradamente la AN. Yo me quedé con la idea de preguntarlo en alguna inspección a la que asistiese posteriormente, pero la verdad es que se me olvidó.

    Y leo en el artículo citado que dice el TS:
    “debe adoptar las medidas de seguridad a que se refiere el citado RD, entre las que destaca el documento de seguridad a que alude el artículo 8 del mentado Reglamento, del que en la demanda -hecho séptimo- se reconoce que se carece. Omisión que, como se razona en la resolución recurrida, resulta trascendente por cuanto dicho documento es de obligado cumplimiento para el personal con acceso a los datos”

    Escrito por Pit | Sábado, 24 abril 2010, 2:47
  6. juan dijo:

    Kialaya dijo:
    Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene?. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackear? ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackear? un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase.

    Sorprende que se esté manipulando descaradamente el uso de técnicas de hacking, en este caso, muy básicas, para justificar la negligencia de los que han construido la web.

    Cambiar la URL no es técnica de hacking. Para eso no hace falta haber ido a ningun curso de informatica, eso lo sabe hasta un niño de 10 años.

    Escrito por Pit | Sábado, 24 abril 2010, 2:34
  7. Kialaya dijo:

    Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene?. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackear? ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackear? un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase.

    Sorprende que se esté manipulando descaradamente el uso de técnicas de hacking, en este caso, muy básicas, para justificar la negligencia de los que han construido la web.

    Escrito por juan | Martes, 6 abril 2010, 12:13
  8. Por lo visto, está claro que la Administración tiene mas fácil incumplir las leyes que los ciudadanos a los que supuestamente ha de servir, y que no parece buen negocio sancionarla dado que al final el pato lo acabamos pagando los contribuyentes, saliendo los verdaderos responsables “de rositas”.
    Sin embargo, no me he terminado de enterar si en el caso denunciado por Samuel (o en otros que alguno conozca) se ha utilizado la posibilidad prevista en la LOPD de que en la Resolución Sancionadora el Director de la Agencia propongo la iniciación de actuaciones disciplinarias. Y también quiero que opinéis sobre si no os parece a todas luces injustificado utilizar el término “podrá proponer” del art. 46.2 de la LOPD asociado a una situación en que recae una resolución en que se declare una infraccción de la normativa de protección de datos, en lugar del “deberá proponer” (¿o no somos todos los ciudadanos iguales ante la ley?).

    Escrito por ciudadano | Lunes, 15 marzo 2010, 11:17
  9. No, no has captado mi sutil matiz. Me refiero a que la admon. no tiene objetivos y la productividad en los mandos bajos, medios y altos depende de las horas dedicadas, no del trabajo sacado adelante o su calidad. Una cosa así para una empresa privada sería un gran varapalo, que en el mejor de los casos supondría ser el hazmerreír del sector durante un tiempo y en el peor, su final.

    Escrito por Alejandro | Viernes, 12 marzo 2010, 20:16
  10. Alejandro, así para la Administración parece que es opcional cumplir la protección de datos o no. Es una cuestión de responsabilidad. Si una organización sin ánimo de lucro (y depende de como, un particular) no cumple, dinerito contante y sonante, y si la Administración no cumple, ¿no? Me temo que se puede hacer mucho más daño en el segundo caso que en el primero (de hecho estoy convencido de que en muchos casos es así), y las sanciones deben ser un motivo para cumplir la normativa. Que tenemos que cumplir todos.

    Escrito por Pablo Rodríguez | Viernes, 12 marzo 2010, 19:48
  11. La Agencia ha declarado la infracción pero, como no podía ser de otra manera, no ha habido sanción económica.

    Escrito por David González Calleja | Viernes, 12 marzo 2010, 12:44
  12. “Un fallo de seguridad” de más de un año no es un fallo, sino manifiesta negligencia e imprudencia. En cuanto a la posibilidad de sanciones a una Administración Pública, la Agencia Española de Protección de Datos acaba de sancionar a la Delegación de Pontevedra de la Consellería de Educación por revelación de datos personales de salud.

    Escrito por ?udea | Viernes, 12 marzo 2010, 12:02
  13. Enhorabuena por tu trabajo y por tu iniciativa. Yo trabajo en una empresa de seguridad informática y veo todos los días una falta de conocimiento y de interés amplia por parte de muchas empresas. Veo que también pasa con las administraciones públicas, por supuesto. En lugar de reconocer su error casi te llaman hacker y entrometido. Como dice un comentario anterior, esto sólo puede pasar en España. ?nimo y sigue como hasta ahora!

    Escrito por purpura9 | Jueves, 11 marzo 2010, 12:02
  14. Pablo, aunque en base tendrías razón, date cuenta de que el presupuesto de la admon publica sale de ti y de mí, y si le recortas presupuesto a cualquier organismo público tendrán la excusa perfecta para funcionar peor.

    Escrito por Alejandro Valdezate | Jueves, 11 marzo 2010, 8:14
  15. Creo que sería muchísimo más fácil y demostrarían muchísima más celeridad, si las Administraciones públicas fuesen sancionadas económicamente y no sólo amonestadas.

    Escrito por Pablo Rodríguez | Jueves, 11 marzo 2010, 8:12
  16. En relación al Esquema Nacional de seguridad que comenta xavi:

    Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE 29 de enero de 2010)

    Disposición adicional cuarta. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.
    Se modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:
    «b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.»

    En la redacción anterior decía: «b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.». Por lo tanto se equipara en cuanto a niveles de seguridad exigible a ficheros con datos especialmente protegidos en la LOPD a los que hace referencia el apartado 5 del art. 81 del Reglamento (datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual) a los ficheros tanto automatizados como no automatizados (ahora bastará con cumplir el nivel básico de seguridad en ambos casos).
    Y yo me pregunto: ¿tiene algún sentido rebajar la protección de datos objetivamente sensibles con el argumento de que los datos “no tienen relación con su finalidad? pero son “accesorios??¿Y si no tienen relación con su finalidad, no es ello en sí mismo una vulneración del principio de calidad de datos que pretende preservar la propia LOPD?:
    “Ley Orgánica 15/1999, de 13 de diciembre
    Artículo 4. Calidad de los datos.
    1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.?
    Y me sigo preguntando:
    ¿Dicha modificación afecta únicamente a los ficheros de las administraciones públicas incluídas en el ámbito de aplicación del art. 3 del Real Decreto 3/2010 (o sea las del artículo 2 de la Ley 11/2007, de 22 de junio de acceso electrónico de los ciudadanos a los Servicios Públicos), o también a los ficheros privados?
    ¿no es esto muy, muy, muy raro?

    Escrito por ciudadano | Miércoles, 10 marzo 2010, 18:40
  17. Hola Samuel, te felicito por tu actuación.
    Trabajo en la administración pública y se lo lento que va todo para resolver cualquier incidente. De todas formas, se acaba de publicar el Esquema Nacional de Seguridad que si se pone en práctica (?) limitará en gran medida todos estos problemas para la administración pública aunque el ENS, al igual que la LOPD no incluye sanciones por incumplimiento a la administración, pero a los técnicos nos sirve como justificación para que se tomen las medidas adecuadas.

    Un saludo

    Escrito por xavi | Miércoles, 10 marzo 2010, 11:49
  18. Hola Paco. Me identifico plenamente contigo: nadie nos escucha ni nos toman en serio hasta que tenemos que poner el asunto en conocimiento de organismos competentes o hasta que algún adolescente con imaginación se hubiera puesto a liarla por ese sistema, entonces sí que se habrían tomado en serio el problema; es habitual en este pais no adoptar las medidas de seguridad ANTES de que suceda el accidente incluso habiéndose advertido a sus responsables :(

    Escrito por Samuel Parra | Martes, 9 marzo 2010, 23:42
  19. Voy a contar un caso similar ocurrido en Andalucía. Trabajo para la Consejería de Educación y, por un simple error de un compañero, caí en la cuenta de que el sistema permitía usar la misma expresión como usuario y contraseña. El único requisito exigido en ambas es que contuviesen caracteres alfabéticos y numéricos. Por entonces estábmos a finales de 2007. Señalar también que la aplicación es accesible desde cualquier ordenador a través de internet y no sólo en la intranet corporativa.

    El paso siguiente era obvio: coger un nombre, añadirle dos cifras del año de nacimiento y usar la misma expresión como user y pass (pepe60-pepe60, carmen61-carmen61,….). Así, con cinco o seis nombres comunes combinados con los años de nacimiento de gente en activo por su edad (50-85) se podía acceder a docenas de cuentas, desde un maestro de primaria a un jefe de negociado, pasando por directores de institutos, psicólogos, etc. Por ejemplo, como maestro podía haber modificado todas las notas de ese colegio, como director de instituto podía haber dado de baja a todo el alumnado, como psicólogo podía acceder a datos médicos y psiquicos de multitud de chavales con problemas,… Finalmente accedí a la cuenta ¡de la persona encargada de asignar los distintos perfiles! con lo que yo me podía asignar privilegios de jefe de negociado e incluso de delegado provincial.

    No voy a extendeme mucho en lo siguiente.

    Notifiqué la incidencia a todos mis superiores incluida la delegada provincial en persona, por teléfono, por escrito y personalmente. Todo ello acompañado con sus correspondientes capturas de pantalla y datos de cuentas accesibles.

    Y aquí llega lo que realmente me jodió: prácticamente todos escurrían el bulto culpando a los usuarios de la poca fortaleza de las contraseñas. Sin eludir la responsabilidad de cada usuario, intenté por todos los medios argumentarles que el responsable último y principal de ese fallo de seguridad es quien diseña un sistema que permite esas contraseñas.

    Ante las largas que me daban y que no se tomaban medidas, presenté una queja ante el Defensor del Pueblo Andaluz, admitida a trámite en abril de 2008.

    Tras un año de requerimientos, la Consejería se dignó contestarle al Defensor en marzo de 2009 con explicaciones tales como:

    – “Todos los empleados quedarán registrados…”

    Y LA NIEVE ES FR?A Y EL AGUA MOJA.

    – “…serán responsables de mantener su confidencialidad y asegurar su correcto uso.”

    OTRA OBVIEDAD

    – “Está siendo distribuida una Guía de buenas prácticas para la gestión de contraseñas…”

    A M? ME LLEGÓ COMO SEIS MESES M?S TARDE, CUANDO POR FIN SE HAB?A SOLUCIONADO EL PROBLEMA.

    – “Se está preparando la edición del libro Guía de Protección de Datos de Carácter Personal para los Centros de Enseñanza…”

    ESTE NO RECUERDO HABERLO VISTO.

    – “Se vienen realizando cursos de jornadas de concienciación en materia de Protección de Datos entre los empleados.”

    DE ESTOS S? ESTOY SEGURO, NUNCA TUVE NOTICIAS DE ELLOS.

    – “Existe un Plan Formativo en formato e-learning sobre Protección de Datos…”

    ME ENTERÉ DE ELLO POR ESTA RESPUESTA…

    POR FIN, CASI AL FINAL, APARECE LO SIGUIENTE:

    “Consciente de su responsabilidad en la adopción de buenas prácticas de seguridad en el desarrollo de (sic) sistema de información, y en línea con lo establecido el (sic) Plan Director de Seguridad, la Consejería está recopilando requisitos para modificar el código de la aplicación en sus módulos de aprovisionamiento, autentificación, autorización y registro de actividad de usuarios. Las mejoras que se tiene previsto implementar incluyen, entre otras, las siguientes:
    – Chequeos de robustez
    – Caducidad (nueve meses)
    – Histórico de contraseñas: no se podrá usar una de las últimas ya usadas”

    Por fin.

    Aún así, en esa fecha, tras más de año y medio de mi primera comunicación, las cosas seguían exactamente igual y cualquier adolescente con un poco de tiempo libre y una simple pizca de imaginación podía haber regalado un aprobado general en varios institutos andaluces.

    A finales de 2009, por fin, ya se han implementado dichas medidas y no es posible usar el nombre de usuario como contraseña. Por ello, ya puedo decirlo tranquilamente, porque hasta entonces me abstuve lógicamente de comentarlo a gente que no fuesen responsables de los servicios.

    En definitiva, durante años, miles de datos personales de los chavales andaluces han estado disponibles para cualquiera con una conexión a internet y desde mi primera comunicación han tardado dos años en solucionar el problema. Y no sólo eso, sino que nadie se molestó en avisar a aquellos cuyas cuentas estaban comprometidas. Al principio localicé a algunos y les comuniqué el hecho, ante su sorpresa, pero no podía pasarme el día colgado de un teléfono explicando a desconocidos que había entrado en su cuenta.

    Por último, no espero agradecimiento, pues entiendo que era mi obligación. Pero aún estoy esperando, al menos, una disculpa.

    Escrito por Paco | Martes, 9 marzo 2010, 20:53
  20. Da miedo.
    Habría que denunciar. Lo que no sé entonces es para qué utilizan entonces los certificados digitales.

    Escrito por Otro ingeniero | Lunes, 8 marzo 2010, 21:37
  21. Ciudadano: una excelente apreciación y deduzco que no ha surgido ni hoy ni ayer, sino que ya lo tenias meditado de antes. En efecto estoy observando Red Trabaja; esto que me has contado no lo había tenido en cuenta, pero ¿qué opinas tú eso de que sólo con saber el DNI y el teléfono de una persona se pueda acceder, por ejemplo, a conocer lo que cobra cada mes de paro y a qué cuenta corriente se lo ingresan? Desde Red Trabaja es posible ;) ¿denuncio también esto o me tomarán por un pesado obsesionado? ;)

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 21:18
  22. Samuel:

    ¿Has investigado el sistema del SPEE red trabaja?
    A simple vista permite darte de alta 1 o varios currículums sin ningún tipo de autenticación desde la propia web. Vamos, que se puede dar de alta datos ficiticios de otras personas simplemente con contenidos que no pasan ningún tipo de filtro inicial, al menos. Y, para mí lo peor es que desde una página web del SEPE se ofrece un modo de intermediar paralelo al que gestionan los SPE autonómicos competentes y que entra en competencia con los mismos, que se inspira en los utilizados por las bolsas de empleo virtuales privadas (Infojobs, monster…) y que adolece de los mismos defectos que éstas desde la óptica de un servicio público de empleo, que:

    1.- debe servir al cumplimiento de los fines del sistema nacional de empleo: principio de igualdad en el acceso al empleo y no discriminación; asegurar la unidad del mercado de trabajo en el territorio español (art. 6.1.c y f y de la Ley Básica de Empleo) (también art. 22.2 LBE: principio básicos de la intermediación de los servicios públicos de empleo). Con esta red se favorece con recursos públicos el aumento de las oportunidades de aquellos demandantes más dotados para el uso de la autocandidatura en detrimento de los menos dotados (que suelen ser los que tienen mayores dificultades de inserción laboral).
    2- debe estar inspirado en los principios de organización y funcionamiento de dicho Sistema Nacional de Empleo: Transparencia en el funcionamiento del mercado de trabajo, teniendo en cuenta la integración, compatibilidad y coordinación de los sistemas de información (art. .8.2 LBE); atención personalizada y especializada a demandantes de empleo y a empresas (art. 8.4 LBE). En el alta del usuario y elaboración de la autocandidatura y posterior inscripción en las ofertas no se puede garantizar la transparencia y mucho menos la integración con las ofertas “SISPE?: en lugar de personas y empresas “verificadas? se gestionan “usuarios virtuales? cuyos datos identificativos no se contrastan de ninguna manera.
    3.-No debe renunciar a la función de Intervención en los diferentes subprocesos que forman parte de la intermediación laboral: (art. 22.3 LBE: “Con el fín de asegurar el cumplimiento de los citados principios, los servicios públicos de empleo garantizarán que el proceso específico de selección y casación entre oferta de trabajo y demanda de empleo corresponde , con carácter general, al servicio público de empleo y a las agencias de colocación debidamente autorizadas?).

    Escrito por ciudadano | Lunes, 8 marzo 2010, 19:18
  23. Me dejas boquiabierto Samuel. Mil gracias por esto.

    Escrito por AB | Lunes, 8 marzo 2010, 18:23
  24. De vergüenza. Especialmente las justificaciones tan peregrinas que dan. Ya sabes, “como tienes página web”, eres un experto informático.
    ¿Soy el único al que esto recuerda sospechosamente al “gran crackeo” que hicieron de los resultados del ine… accediendo directamente a los pdf unos días antes? También dijeron que habían atacado al servidor…
    Resulta absurdo considerar que es “intrusión informática” leer un archivo que publicaron ellos en la web, pero ¿hay jurisprudencia al respecto, o realmente presentar tal acusación?

    Andrés, es interesante lo que comentas del uso de tu DNI. Yo diría que si acerté con tu DNI generando una lista de números, no estaría haciendo uso de tu dato personal, al contrario que si lo tomara sabiendo que es tu dni. ¿Qué opináis los demás?

    Lo que sí tengo claro es que la lista de números que sacó Samuel no fue del 0000001 al 0000010, que corresponden a Franco y al rey Juan Carlos respectivamente. No sé si los del rango están sin asignar, o pertenecen a otros miembros de la Casa Real, pero en cualquiera de los casos, veo improbable que estuvieran inscritos en el INEM ;-)

    Escrito por Otro ingeniero | Lunes, 8 marzo 2010, 16:54
  25. Desde mi punto de vista que trabajo para la administracion el mayor problema es la falta de compromiso que empresas externas tienen para con los trabajos que realizan, si la persona que forma parte de la organizacion hace una cosa se compromete porque sabe que mañana tendra que mantenerla el, pero claro cuando la organizacion crece, entre los sacacuartos y los parasitos puestos a dedo… pasan este tipo de cosas

    Escrito por ayudawindows7.com | Lunes, 8 marzo 2010, 16:37
  26. feanorknd dijo:

    A Andrés…
    Hacer un script bash o “programita? y dejarlo corriendo para vía GET, extraer de la web pública datos confidenciales que supuestamente no deberían ser mostrados….
    NO IMPLICA:
    – hacking
    – vulnerar medidas de seguridad
    – introducirse en sistemas de manera no legítima
    – cracking
    – ningun tipo de ataque… una petición GET a un servidor web para unicamente extraer datos no puede ser considerado un ataque…. para eso están los servidores web, para que tú le hagas un GET y ellos te devuelvan datos….. si la plataforma falla al hacer el GET, no es responsabilidad del visitante, que ya verá si documenta dicho fallo al webmaster o no.

    Efectivamente. El problema es que los jueces no entienden esta parte. Y muchos “técnicos” tampoco lo entienden o se hacen los locos y no quieren entenderlo. Si yo empleo el protocolo HTTP siguiendo las RFC’s y el servidor que recibe la petición lícita revienta o le da por devolverme datos que no debiera, no es problema mio. Entre esto y un ataque donde se requieren conocimientos especializados y mala leche, hay un abismo. No es lo mismo descubir un problema de gestión de memoria cuya explotación requiere de depuración y avanzados conocimientos de seguridad, que enviar una petición HTTP (GET, POST, o lo que sea) y que el servidor devuelva lo que no debe… Ese es un problema de diseño de alto nivel, facilmente detectable en cualquier auditoría e injustificable que se encuentre en un servicio web de esas características. Lo que debería hacer las AAPP afectadas es tomarse en serio la seguridad, cosa que a dia de hoy no hacen. Llevo más de 15 años auditando sistemas y sigo viendo como suceden estas cosas y otras peores que no salen en los periódicos.

    ¿Os preocupa que se pueda acceder a información de ciudadanos? Probad a investigar sobre el DNIe y lo que se puede hacer con él o con el de un PC comprometido… 

    Un saludo,

    Escrito por Hugo | Lunes, 8 marzo 2010, 14:32
  27. David González Calleja dijo:

    Enhorabuena por la resolución. Los argumentos del SEPE son inauditos, para enmarcar.
    Leí ayer la noticia en El Mundo. Seguro que te ha gustado que la publicaran, pero ¿te ha gustado también cómo la han publicado?
    Un saludo.

    Yo le habría dado otro enfoque, pero no soy periodista ;)

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 12:49
  28. pepe dijo:

    Lo peor del caso es que a las administraciones publicas no les afecta como a los ciudadanos y pequeñas empresas las resoluciones de la agencia de protección de datos. ¿Va a haber alguna dimisión?, ¿alguien lo va a pagar de su bolsillo? ¿Quien hizo la pagina web, probablemente hijo de algún alto gerifalte, va a pagar por su error de programación?.
    Te voy a contar un caso relacionado, también relativo a la comunidad de murcia, y que me afecta a mi personalmente.
    Tengo un hotel y tengo que enviar mis precios también por Internet. Las claves de acceso son el dni-cif y el numero de registro que tenemos en la comunidad. Estos son datos fáciles de conseguir, en la propia pagina de reservas online de la comunidad podemos sacar estos dos datos. Yo mismo hice la prueba y comprobé que podía modificar los precios de cualquier hotel de la región. Lo he puesto en conocimiento de la consejería varias veces, y se hacen la callada por respuesta.
    Que me queda, denunciarlos ante la AGPD y meterme yo en follones legales. No gracias.

    Sí Pepe, y en la Administración hay también muchos servicios que funcionan así, y seguirán funcionando hasta que pase algo con la información o alguien lo denuncie.

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 12:45
  29. Andrés dijo:

    samuel, no habia leido tu frase final de -?A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho?-. La pones en letrita tan clarita que parce que la has añadido después… más para solventar el problema de reconocer que te has hackeado al SPEE. Así que, para recabar los números no dejaste el programita varios días generando númeritos de DNI, es una “licencia literaria? (o.. no, te basto con tenerlo puesto unas horas para recoger datos de varios dnis entre una franja determinada de números… para verificar que el “agujero? estaba; utilizar los mismos para entrar en el sistema, conocer la información “privada? de esas personas, a las que igual no les hace (no nos hace) gracia que alguien acceda a la misma).

    Los que me conocen saben perfectamente que no me dedico a asaltar ninguna base de datos. A la pregunta ¿cómo obtuve los DNIs válidos para probar el fallo y demostrarlo? Si te lees la resolución lo verás claro, pero te lo digo yo y lo pruebas tú mismo: vete a la dirección que indicaba, a la que enlazan las palabras “una vez allí” del artículo principal; ahora prueba a meter un DNI con la letra, y pueden pasar dos cosas: a) que te diga “el identificador de demanda no es válido”, o b) que no te de ningún error y pases a la siguiente ventana. Si ocurre lo segundo, ya tienes un DNI válido. Lo que hice para la “prueba de concepto” fue generar 10 números de DNI secuenciales, digamos, entre el 0000001 y el 0000010, luego pones esos DNIs donde te he dicho y si no sale error, pues ya tienes DNIs válido para el SPEE. Si lees la resolución salen todos los detalles sobre este asunto.

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 12:42
  30. A Andrés…
    Hacer un script bash o “programita” y dejarlo corriendo para vía GET, extraer de la web pública datos confidenciales que supuestamente no deberían ser mostrados….
    NO IMPLICA:
    – hacking
    – vulnerar medidas de seguridad
    – introducirse en sistemas de manera no legítima
    – cracking
    – ningun tipo de ataque… una petición GET a un servidor web para unicamente extraer datos no puede ser considerado un ataque…. para eso están los servidores web, para que tú le hagas un GET y ellos te devuelvan datos….. si la plataforma falla al hacer el GET, no es responsabilidad del visitante, que ya verá si documenta dicho fallo al webmaster o no.

    Escrito por feanorknd | Lunes, 8 marzo 2010, 12:24
  31. samuel, no habia leido tu frase final de -“A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho”-. La pones en letrita tan clarita que parce que la has añadido después… más para solventar el problema de reconocer que te has hackeado al SPEE. Así que, para recabar los números no dejaste el programita varios días generando númeritos de DNI, es una “licencia literaria” (o.. no, te basto con tenerlo puesto unas horas para recoger datos de varios dnis entre una franja determinada de números… para verificar que el “agujero” estaba; utilizar los mismos para entrar en el sistema, conocer la información “privada” de esas personas, a las que igual no les hace (no nos hace) gracia que alguien acceda a la misma).

    Escrito por Andrés | Lunes, 8 marzo 2010, 12:20
  32. Buenas… he estado algunos años trabajando en el area tecnica de empresas de hosting. Solo decir que hace muy bien en denunciar publicamente y exponer tal cual ha hecho este caso concreto. Puedo asegurar que es increible la cantidad de ineptos e irresponsables que trabajan en la actualidad para algunos organismos públicos, incumpliendo premisas básicas de seguridad, normativas RFC (en servidores de correo, por ejemplo) y algunos otros casos…. me parece increible y bochornoso. Exponerlo publicamente con todo lujo de detalles es el único modo viable de intentar “contrarrestar” ese pasotismo e ineficacia existente y luchar contra ella. Visualizar una URL y averiguar que unicamente cambiando una variable pasada via POST permite acceder a estos datos no es algo tan DIFICIL como quieren hacer creer: mas bien lo considero una estupidez digna de cualquier chavalillo con unos conocimientos medios de informatica…… qué alguien explote ésto sin que se haga público es cuestión de tiempo, si es que no lo han hecho ya. Cabe decir, que la inyección en GETs a servidores web es uno de los métodos más usados para Hacking o defacing de páginas web, y no es para nada raro, especial o complicado, como esos ineptos quieren hacer creer…. mas bien, es mucho más complicado intentar liar la perdiz y no solucionar el problema, que hacerlo en un pispas, introduciendo medidas de control, como variables de sesión que identifiquen el DNI demandante.
    Me parece absurdo que cosas como estas ocurran cuando la resolución del problema debería apoyarse unicamente en un email enviado al webmaster….
    Repito: me parece que hay mucha incompetencia profesional en este sector de la informática en España, y felicito a esta web por denunciarlo tan claramente.
    Un saludo.

    Escrito por feanorknd | Lunes, 8 marzo 2010, 12:14
  33. Hola. Yo soy un Ingeniero en Informática en paro, llevo varios años sin encontrar trabajo gracias al gran intrusismo que hay en el sector y te puedo decir que eso no es un error de seguridad, eso es una negligencia en toda regla. Es un error de principiante o de aficionado. No te preocupes que no has modificado fuentes ni has hecho ninguna labor de alta ingeniería que no pueda hacer cualquier crio de 16 años que haya leído un par de revistas de informática. Quizás para los que desarrollaron el sistema o para los que dirigen el departamento eso sea algo muy avanzado, demostrando la ignorancia y la incompetencia del personal que se encargó de hacer y de trabajar con ese sistema. Realmente negligencias de ese tipo en lugares como la administración con los recursos que tienen deberían de estar fuertemente penadas, no es lo mismo un aficionado que tiene una página personal o una pequeña empresa que no tiene recursos para pagar a un buen profesional, que una administración pública.

    Escrito por Un ingeniero en paro. | Lunes, 8 marzo 2010, 12:05
  34. Samuel,
    Buena iniciativa.
    Para tu bienestar económico, creo que has tenido suerte.
    Hay fallos de seguridad en los servicios de banca electrónica de bancos y cajas de ahorro que han costado miles de euros a sus clientes, y que tras ser identificados siguen sin ser resueltos…
    Salu2

    Escrito por deincognito | Lunes, 8 marzo 2010, 11:56
  35. Es responsabilidad de los desarrolladores aportar ese nivel de seguridad… que no escurran el bulto.

    Escrito por j0n3 | Lunes, 8 marzo 2010, 10:35
  36. Samuel, menuda aventura la tuya. Siempre velando por el interés de los demás. Bueno… en este caso, más que el interés de los demás, parace una actuación de satisfacción personal.
    En teoría y por los datos que nos das, parece que sin comerlo ni beberlo te encontraste un fallo de seguridad, actuaste en plan “hacking ético” (sin que nadie te lo pidiese o encargase), por mero interés profesional, comuniscaste el error por activa y pasiva, pero nadie te hizo caso. Y, no te dejaron más remedio que acudir a la AEPD.
    Una muy bonita historia.. pero, no hay ninguna otra intención?. Cuando cuentas que pediste una prestación, que luego iniciaste un procedimiento judicial contra el SPEE, no te parece que suena a “vedetta”.
    Hombre, utilizar un programa para vulnerar DNI, debe ser interesante, muy interesante, pero más que buscar el indicar la existencia de un fallo de seguridad, has acudido a la AEPD en busca de revancha, vendetta, o como quieras llamarlo.
    Utilizar un programa para generar DNI, con vistas a (y cito) -“inmediatamente hice un programita que deje funcionando durante varios días probando todas las combinaciones de posibles números de DNI para hacerme con una base de datos de ciudadanos españoles importante”- es algo un poco ilegal, más en tema de protección de datos, dado que has realizado un tratamiento no autorizado de datos (por lo menos el de las personas que presentaste como prueba, y entendiendo por tratamiento lo que dice la LOPD y el RDLOPD), sin conocimiento de su titular, recabados de fuentes no accesibles al público. Si a mi me comunica la AEPD que has utilizado mi DNI, vamos… espera el inicio de un procedimiento sancionador (claro, que como actuaste como persona física.. te libras, verdad .;-D).
    Pero lo que más me intriga es que el SPEE no haya incoado un procedimiento contra ti por ataque a una aplicación informática y servidor, utilización de ingenieria inversa y tratamiento no autorizado de datos, más cuando…les das las pruebas de lo que has hecho.
    Espero Samuel que no te pillen, y que los enemigos que te vas haciendo por el camino no busquen nunca un fallo de seguridad en esta página, ni en la de la empresa en la que trabajes, ni se publiquen datos de usuarios, datos de personas que comentamos.. Ya sabes lo que se dice -“arrieros somos y en el camino nos encontraremos”-.
    Mientras tanto, sigue investigando, sigue encontrando y denunciando… sigue con tu labnor de “Robin Samuel Parra” en la jungla de la LOPD.
    Un saludo

    Escrito por andrés | Lunes, 8 marzo 2010, 10:34
  37. Enhorabuena por la resolución. Los argumentos del SEPE son inauditos, para enmarcar.

    Leí ayer la noticia en El Mundo. Seguro que te ha gustado que la publicaran, pero ¿te ha gustado también cómo la han publicado?

    Un saludo.

    Escrito por David González Calleja | Lunes, 8 marzo 2010, 10:27
  38. Lo peor del caso es que a las administraciones publicas no les afecta como a los ciudadanos y pequeñas empresas las resoluciones de la agencia de protección de datos. ¿Va a haber alguna dimisión?, ¿alguien lo va a pagar de su bolsillo? ¿Quien hizo la pagina web, probablemente hijo de algún alto gerifalte, va a pagar por su error de programación?.
    Te voy a contar un caso relacionado, también relativo a la comunidad de murcia, y que me afecta a mi personalmente.
    Tengo un hotel y tengo que enviar mis precios también por Internet. Las claves de acceso son el dni-cif y el numero de registro que tenemos en la comunidad. Estos son datos fáciles de conseguir, en la propia pagina de reservas online de la comunidad podemos sacar estos dos datos. Yo mismo hice la prueba y comprobé que podía modificar los precios de cualquier hotel de la región. Lo he puesto en conocimiento de la consejería varias veces, y se hacen la callada por respuesta.
    Que me queda, denunciarlos ante la AGPD y meterme yo en follones legales. No gracias.

    Escrito por pepe | Lunes, 8 marzo 2010, 9:47
  39. Quisiera puntualizar que no es mi deseo molestar a nadie con lo de que “el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene”. Yo misma no tengo grandes conocimientos de informática, programación ni redes, muchísimo menos para “hackear” ningún sistema pero lo que describe este señor en su blog es sencillamente sustituir unos números por otros en una dirección URL del navegador. Dudo que eso se pueda considerar “hackear” un sistema de cualquiera de las maneras. Y el programita que hizo sólo automatizaba dicho proceso por lo que le he entendido, no hacía nada más realmente. Releyendo mi anterior comentario he querido mencionar esto antes de que a alguien le molestase. :-)

    Escrito por Kialaya | Lunes, 8 marzo 2010, 9:21
  40. Vergonzosa me parece la falta de interés de la administración por subsanar un claro fallo de seguridad del tamaño de la Antártida. Ya me parece mal que existiera ese fallo a priori, puesto que el gobierno y la administración pública debería de contar con profesionales que supieran evitarlos, pero luego encima no querer dar al brazo a torcer y reconocer que han metido la pata y sencillamente arreglarlo me parece absurdo. Así nos va, un año para arreglar un fallo de seguridad y quieren arreglar la crisis en un pispas? Pues yo te agradezco el que “hackearas o atacaras” como dicen (anda que el que dice que eso es un hackeo no es por nada pero de informática mucha idea no tiene) y denunciaras. Si existiera más gente como tu velando por la privacidad de los datos de los demás, mejor nos iría. No entiendo como nadie te puede criticar por ello y además usando como has hecho los cauces legales y no publicando hasta que se ha dictado sentencia. Enhorabuena de mi parte y gracias.

    Escrito por Kialaya | Lunes, 8 marzo 2010, 9:15
  41. David dijo:

    Hola:
    Jaja, Samuel, eres un hacker, menuda aventura.
    Si lo que para las empresas privadas son sanciones para las adminsitraciones fuesen indemnizaciones para los afectados por el mal tratamiento de los datos, otro gallo cantaría…
    Un saludo.

    Ahí está, le has “dao” en el clavo ;)

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 0:54
  42. Anubys dijo:

    Impresionante, se podía acceder a los dni de cualquier modificando la sentencia enviada por get paso de comentar lo que me parecen los programadores de la pagina que me da algo.
    Solo comentar que las excusas para defenderse son de chiste, esto solo pasa en España
    Muy bueno el descubrimiento, y gracias por publicarlo, solo aquellos paranoicos de la seguridad entendemos lo que has echo.

    Gracias por el apoyo :) por aquí otro paranoico de la seguridad y privacidad.

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 0:53
  43. Alejandro Valdezate dijo:

    Por cierto, he de confesar que hace 2 años también vi dicho fallo pero por pura vaguería no “jugué? con el GET, aunque vaticinaba muy buenos resultados. Me llamó la atención que los únicos datos fueran una fecha y un dni por lo vulnerable de ese par de items pero de ahí no pasé. Gracias por haber desarrollado la idea y por haberte tomado la molestia de denunciarlo. Parece mentira que después de la puesta en marcha de la ley 11/2007 pasen cosas tan tontas como esta.

    Pues todavía hay otros servicios que funcionan igual: DNI+fecha como mecanismo de autentificación… Seguramente si no hubiera denunciado nada el fallo seguiría ahí…

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 0:52
  44. Alejandro Valdezate dijo:

    Ignorando el primer comentario (que podría ser perfectamente borrado sin que se perdiera nada importante), hay una cosa que no acabo de comprender del todo. Si la deficiencia la mostraba el sistema nacional de empleo ¿por qué la denuncia iba contra el sistema de empleo de Mucria? Me imagino que es porque ese es el organismo con el que te diste de alta, pero ellos a su vez te remitían al sistema global.
    Saludos,

    Échale un vistazo a la Resolución. En realidad la parte de denuncia al SEF de Murcia es por otras cuestiones, en concreto por no poner cláusulas informativas en algunos formularios.
    La parte del fallo de seguridad (el asunto importante en la denuncia) va contra el SPEE :) .

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 0:50
  45. Impresionante, se podía acceder a los dni de cualquier modificando la sentencia enviada por get ;) paso de comentar lo que me parecen los programadores de la pagina que me da algo.

    Solo comentar que las excusas para defenderse son de chiste, esto solo pasa en España ;)

    Muy bueno el descubrimiento, y gracias por publicarlo, solo aquellos paranoicos de la seguridad entendemos lo que has echo.

    Escrito por Anubys | Lunes, 8 marzo 2010, 0:47
  46. Anonimo dijo:

    “Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.?
    Perdona, tu justiciero al que debemos todos dar las gracias por ayudar a estar más seguro, ¿cual era el motivo para dejar la aplicación esta funcionando varios dias?
    Vale que el sistema sea pesimo, pero el que se merece una denuncia eres tu por hacer un ataque contra un sistema público con el único objetivo de publicarlo en tu blog.
    Enhorabuena campeón.

    Hombre “Anónimo”, que lo de “descargarme” la base de datos era una broma para picar al lector ;) . Broma habitual en mis artículos si les echas un vistazo (como esa otra que facilito una base de datos con todos los DNIs, y varios más). Son guiños a mis lectores habituales.
    Y respecto a que me merezco una denuncia por atacar un sistema público con el único objetivo de publicarlo en mi blog, pues si así quieres verlo, muy bien. Creo no obstante, que el resto de personas (sobre todo los que conocen este blog) no verán ese objetivo (lo podría haber publicado cuando lo descubrí y me he esperado hasta ahora). Si lo denuncié fue sobre todo para que lo arreglasen, y por supuesto, pensaba contarlo en mi blog cuando llegase el momento, que para eso escribo en él (de igual forma que también escribo cuando me desestiman otras denuncias)… pero de ahí a decir que voy asaltando los sistemas de la Administración para luego venir a contarlo aquí…

    Escrito por Samuel Parra | Lunes, 8 marzo 2010, 0:45
  47. Por cierto, he de confesar que hace 2 años también vi dicho fallo pero por pura vaguería no “jugué” con el GET, aunque vaticinaba muy buenos resultados. Me llamó la atención que los únicos datos fueran una fecha y un dni por lo vulnerable de ese par de items pero de ahí no pasé. Gracias por haber desarrollado la idea y por haberte tomado la molestia de denunciarlo. Parece mentira que después de la puesta en marcha de la ley 11/2007 pasen cosas tan tontas como esta.

    Escrito por Alejandro Valdezate | Lunes, 8 marzo 2010, 0:45
  48. Ignorando el primer comentario (que podría ser perfectamente borrado sin que se perdiera nada importante), hay una cosa que no acabo de comprender del todo. Si la deficiencia la mostraba el sistema nacional de empleo ¿por qué la denuncia iba contra el sistema de empleo de Mucria? Me imagino que es porque ese es el organismo con el que te diste de alta, pero ellos a su vez te remitían al sistema global.

    Saludos,

    Escrito por Alejandro Valdezate | Lunes, 8 marzo 2010, 0:43
  49. Hola:

    Jaja, Samuel, eres un hacker, menuda aventura.

    Si lo que para las empresas privadas son sanciones para las adminsitraciones fuesen indemnizaciones para los afectados por el mal tratamiento de los datos, otro gallo cantaría…

    Un saludo.

    Escrito por David | Lunes, 8 marzo 2010, 0:01
  50. “Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.”

    Perdona, tu justiciero al que debemos todos dar las gracias por ayudar a estar más seguro, ¿cual era el motivo para dejar la aplicación esta funcionando varios dias?

    Vale que el sistema sea pesimo, pero el que se merece una denuncia eres tu por hacer un ataque contra un sistema público con el único objetivo de publicarlo en tu blog.

    Enhorabuena campeón.

    Escrito por Anonimo | Domingo, 7 marzo 2010, 23:59

Trackbacks/Pingbacks

  1. […] público sin avisar a la DGT y darles un tiempo a “arreglarlo”? Esto fue lo que hice con este otro problema  y sólo tardaron 15 meses en arreglarlo y porque medió una Resolución Sancionadora contra el […]

  2. […] Es parte de un artículo de Elena G. Pérez publicado en 20minutos. Lo cuenta el propio Samuel en su sitio. […]

  3. […] would you describe your relation with the company where you work? Julen reflects on it. Samuel Parra and the safety mistake of the State Service of Employment that, for months, has left to the […]

  4. […] du deine Beziehung mit dem Unternehmen beschreiben, wo du arbeitest? Julen überlegt darauf. Samuel Parra und der Sicherheitsfehler des Staatlichen Dienstes der Verwendung, die, während der Monate, in der […]

  5. […] где ты работаешь? Julen размышл?ет над ?тим. Саму?ль Парра и неудача безопа?но?ти Го?удар?твенной Службы […]

  6. […] Original source : http://www.samuelparra.com/2010/03/07/fallo-seguri… […]

  7. […] Enlace […]

  8. […] Un fallo de seguridad compromete los datos de millones de españoles http://www.samuelparra.com/2010/03/07/fallo-seguridad-compromete-da…  por nsimalen el 08:46 UTC […]

  9. […] » noticia original […]

  10. Un fallo de seguridad compromete los datos de millones de españoles…

    Un fallo de seguridad en un servicio online del Servicio Público de Empleo Estatal permitía acceder a datos privados de varios millones de ciudadanos españoles. Para explotarlo sólo era necesario conocer el número de DNI de la víctima. El error n…

    joneame.net - Domingo, 7 marzo 2010

Publicar comentario


Los datos de carácter personal que se faciliten por correo electrónico mediante el siguiente formulario de contacto quedarán registrados en un fichero de titularidad privada cuyo responsable es Samuel Parra Sáez, con la finalidad de contestar a las consultas planteadas. Puedes ejercitar los derechos de acceso, rectificación, cancelación y oposición por correo electrónico a la dirección email.jpg