ERROR DE JUNAEB EXPONE EN INTERNET DATOS PERSONALES DE ESCOLARES CHILENOS
Un gravísimo y evitable error informático expuso a través de Internet los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes chilenos.
La irregularidad fue detectada por un usuario de Terra, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas, tiempo en el que estuvo expuesta la información en Internet y a la cual se podía acceder a través de Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.
Esta información hoy en Chile está protegida por la Ley Nº 19.628 Sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal, que en su artículo 11 señala: “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los datos”.
DATOS EXPUESTOS EN INTERNET
La irregularidad fue descubierta por el programador Paolo Norambuena Sandoval quien contó a Terra que buscando en Google información sobre un compañero para ubicarlo se encontró con resultados como éstos:
19,ABARCA,FUENTES,ANGEL MAURICIO,18.XXX.XXX-1,LICEO MARIA CARVAJAL FUENZALIDA,2009-04-08 12:39:04,FAUNDEZ,ESCOBAR,JUAN CARLOS,Confirmado,,,,SI
“Se trataba de un sitio de la Junaeb y al ingresar me di cuenta que era la exportación de una base de datos: http://zeus.junaeb.cl/becapres/ InterJunaeb/Archivos/LISTADO_csv y que al borrar la parte de LISTADO_csv se podían ver documentos de todo tipo relacionados con la Beca Presidente de la Republica y otras becas para enseñanza media”, explicó el programador.
Entre otros hallazgos, también se encontraron carpetas con funciones (lenguajes de programación) para la conexión a bases de datos, que podrían permitir indexar y modificar datos. “El riesgo está en que muchos listados contienen nombres y números de RUT, con los cuales se sabe que se pueden cometer fraudes de todo tipo”, señaló a Terra Norambuena, quien reside en Concepción y trató de contactar a la oficina local de la entidad sin resultado para alertarlos del problema.
ARTESANÍA INFORMÁTICA
Tras la denuncia, Terra.cl pidió al experto en seguridad informática, Rodrigo Gutiérrez, un análisis de la gravedad del problema y nos confirmó que se trata de “un descuido de marca mayor”.
“El administrador, además de no haber configurado el servidor con consideraciones de seguridad, guardaba los backups en la carpeta expuesta a Internet. Desde allí podemos obtener todo el código fuente de su aplicación web”, señaló.
Según Gutiérrez da la impresión de que ni siquiera hubo un esfuerzo por hacer las cosas bien. “De hecho, te das cuenta de que el responsable ni siquiera se molestó en reemplazar la página que viene por defecto cuando instalas el servidor”.
Consultado de si esta negligencia podría haber acarreado mayores problemas, el experto opina que definitivamente, “esto debido a que dentro de los "descuidos" de configuración está el "descuido" de permitir el listado de los contenidos de los directorios.
Si a esto le sumamos que el administrador realizaba "respaldos" y los dejaba en los mismos directorios que son accesibles desde Internet, tenemos un problema mayor ya que a través de esos respaldos se podría obtener el código fuente de la aplicación web, permitiendo a un atacante descubrir vulnerabilidades en el código de las aplicaciones”.
Esto permitiría a un atacante acceder a la base de datos con los mismos privilegios que la aplicación web, lo que la mayoría de las veces se traduce en leer, escribir y borrar en la base de datos. “Se podrían manipular los datos y si la base de datos que provee al sitio web fuese la base de datos oficial de la Junaeb, se podría causar un problema bastante grave pues podrías acceder a la base datos, leer absolutamente todos los registros, modificar o borrar lo que quieras”.
Así, de acuerdo al experto, esto revela que quienes llevan la administración y la auditoría de los sistemas informáticos de Junaeb no tienen las capacidades: “más que ingeniería informática parece artesanía informática”, concluyó.
UNA MALA PRÁCTICA
Terra además pidió un análisis a la empresa de seguridad Neosecure, donde el experto Miguel Rosales confirmó que el problema es producto de una mala configuración del sistema del servidor web, de una mala práctica, y no producto de la explotación de una vulnerbilidad.
“Lo que está pasando en este sitio, es que uno puede ver el contenido del directorio del servidor web, lo que puede provocar la divulgación de información confidencial”, explicó. Así si bien, este directorio en particular, no tiene información tan relevante que pueda ser mal utilizada, una mala práctica en seguridad puede poner en riesgo desde planillas con datos de usuarios, hasta números de tarjetas de crédito, adjudicación de licitaciones, etc..
“Se deben seguir las mejores prácticas de seguridad en configurar el servidor web antes de publicar la información en Internet, y ésta es la base para solucionar este tipo de problemas. Con el fin de prevenir este tipo de vulnerabilidades, existe una gran gama de soluciones, que van desde una buena configuración hasta un firewall aplicativo”, señaló.
LOS DATOS YA ESTÁN ABAJO
Este viernes Terra.cl alertó a la Junaeb del problema, ante lo cual su director nacional, Juan Carlos Cabezas reaccionó eliminando la información expuesta según nos informó a través de un e-mail:
“Agradecemos la alerta que Terra puso en relación a la exposición de algunos datos relacionados con información de nuestros beneficiarios. Apenas fuimos puestos en conocimiento por parte del portal, bajamos la información para evitar que sea mal utilizada.
Junaeb está permanentemente cautelando la seguridad de los datos que maneja, para lo cual cuenta con personal altamente calificado en la administración de los soportes informáticos que la institución posee.
Las tecnologías de la información son cada vez más sofisticadas, lo que nos obliga a estar siempre revisando y modernizando nuestros sistemas.
Este incidente nos indica que como institución de Gobierno, debemos estar muy alertas en el resguardo de nuestros datos”.
fuente: http://www.terra.cl
La irregularidad fue detectada por un usuario de Terra, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas, tiempo en el que estuvo expuesta la información en Internet y a la cual se podía acceder a través de Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.
Esta información hoy en Chile está protegida por la Ley Nº 19.628 Sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal, que en su artículo 11 señala: “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los datos”.
DATOS EXPUESTOS EN INTERNET
La irregularidad fue descubierta por el programador Paolo Norambuena Sandoval quien contó a Terra que buscando en Google información sobre un compañero para ubicarlo se encontró con resultados como éstos:
19,ABARCA,FUENTES,ANGEL MAURICIO,18.XXX.XXX-1,LICEO MARIA CARVAJAL FUENZALIDA,2009-04-08 12:39:04,FAUNDEZ,ESCOBAR,JUAN CARLOS,Confirmado,,,,SI
“Se trataba de un sitio de la Junaeb y al ingresar me di cuenta que era la exportación de una base de datos: http://zeus.junaeb.cl/becapres/ InterJunaeb/Archivos/LISTADO_csv y que al borrar la parte de LISTADO_csv se podían ver documentos de todo tipo relacionados con la Beca Presidente de la Republica y otras becas para enseñanza media”, explicó el programador.
Entre otros hallazgos, también se encontraron carpetas con funciones (lenguajes de programación) para la conexión a bases de datos, que podrían permitir indexar y modificar datos. “El riesgo está en que muchos listados contienen nombres y números de RUT, con los cuales se sabe que se pueden cometer fraudes de todo tipo”, señaló a Terra Norambuena, quien reside en Concepción y trató de contactar a la oficina local de la entidad sin resultado para alertarlos del problema.
ARTESANÍA INFORMÁTICA
Tras la denuncia, Terra.cl pidió al experto en seguridad informática, Rodrigo Gutiérrez, un análisis de la gravedad del problema y nos confirmó que se trata de “un descuido de marca mayor”.
“El administrador, además de no haber configurado el servidor con consideraciones de seguridad, guardaba los backups en la carpeta expuesta a Internet. Desde allí podemos obtener todo el código fuente de su aplicación web”, señaló.
Según Gutiérrez da la impresión de que ni siquiera hubo un esfuerzo por hacer las cosas bien. “De hecho, te das cuenta de que el responsable ni siquiera se molestó en reemplazar la página que viene por defecto cuando instalas el servidor”.
Consultado de si esta negligencia podría haber acarreado mayores problemas, el experto opina que definitivamente, “esto debido a que dentro de los "descuidos" de configuración está el "descuido" de permitir el listado de los contenidos de los directorios.
Si a esto le sumamos que el administrador realizaba "respaldos" y los dejaba en los mismos directorios que son accesibles desde Internet, tenemos un problema mayor ya que a través de esos respaldos se podría obtener el código fuente de la aplicación web, permitiendo a un atacante descubrir vulnerabilidades en el código de las aplicaciones”.
Esto permitiría a un atacante acceder a la base de datos con los mismos privilegios que la aplicación web, lo que la mayoría de las veces se traduce en leer, escribir y borrar en la base de datos. “Se podrían manipular los datos y si la base de datos que provee al sitio web fuese la base de datos oficial de la Junaeb, se podría causar un problema bastante grave pues podrías acceder a la base datos, leer absolutamente todos los registros, modificar o borrar lo que quieras”.
Así, de acuerdo al experto, esto revela que quienes llevan la administración y la auditoría de los sistemas informáticos de Junaeb no tienen las capacidades: “más que ingeniería informática parece artesanía informática”, concluyó.
UNA MALA PRÁCTICA
Terra además pidió un análisis a la empresa de seguridad Neosecure, donde el experto Miguel Rosales confirmó que el problema es producto de una mala configuración del sistema del servidor web, de una mala práctica, y no producto de la explotación de una vulnerbilidad.
“Lo que está pasando en este sitio, es que uno puede ver el contenido del directorio del servidor web, lo que puede provocar la divulgación de información confidencial”, explicó. Así si bien, este directorio en particular, no tiene información tan relevante que pueda ser mal utilizada, una mala práctica en seguridad puede poner en riesgo desde planillas con datos de usuarios, hasta números de tarjetas de crédito, adjudicación de licitaciones, etc..
“Se deben seguir las mejores prácticas de seguridad en configurar el servidor web antes de publicar la información en Internet, y ésta es la base para solucionar este tipo de problemas. Con el fin de prevenir este tipo de vulnerabilidades, existe una gran gama de soluciones, que van desde una buena configuración hasta un firewall aplicativo”, señaló.
LOS DATOS YA ESTÁN ABAJO
Este viernes Terra.cl alertó a la Junaeb del problema, ante lo cual su director nacional, Juan Carlos Cabezas reaccionó eliminando la información expuesta según nos informó a través de un e-mail:
“Agradecemos la alerta que Terra puso en relación a la exposición de algunos datos relacionados con información de nuestros beneficiarios. Apenas fuimos puestos en conocimiento por parte del portal, bajamos la información para evitar que sea mal utilizada.
Junaeb está permanentemente cautelando la seguridad de los datos que maneja, para lo cual cuenta con personal altamente calificado en la administración de los soportes informáticos que la institución posee.
Las tecnologías de la información son cada vez más sofisticadas, lo que nos obliga a estar siempre revisando y modernizando nuestros sistemas.
Este incidente nos indica que como institución de Gobierno, debemos estar muy alertas en el resguardo de nuestros datos”.
fuente: http://www.terra.cl
Comentarios