La página web ya presenta un grave fallo: se puede acceder sin impedimentos a los datos y peticiones de los ciudadanos que han hecho una consulta en dicho portal. Entre los datos revelados se encuentran nombres, apellidos, DNI y NIF y los propios resultados de la búsqueda.
|
etiquetas: bug , samuel parra , ley orgánica de protección de datos
El Portal de la Transparencia inaugurado por el Gobierno para que los ciudadanos puedan acceder a parte de las cifras y entretelas del Estado, la web ya presenta un grave fallo: se puede acceder sin impedimentos a los datos y peticiones de los ciudadanos que han hecho una consulta en dicho portal.
Según ha descubierto el experto en privacidad Samuel Parra y desvela hoy el diario El Mundo, este fallo permite acceder a todos los datos de un ciudadano que haya hecho una consulta en dicha web con tan sólo cambiar aleatoriamente parte de la URL que aparece en el navegador y obteniendo un comprobante de la consulta, un documento en formato PDF. Entre los datos revelados se encuentran nombres, apellidos, DNI y NIF y los propios resultados de la búsqueda, que de este modo quedan "desprotegidos".
El problema en este caso radica en que, pese a estar verificadas mediante DNI electrónico o Certificado Digital las consultas realizadas, el portal se salta la verificación de los permisos para poder acceder a otros documentos ajenos una vez recibido el resultado de la consulta. Esto estaría provocando un acceso indiscriminado a las solicitudes de información que han cursado los ciudadanos.
En este sentido, el experto en privacidad contactado por El Mundo revela que el principal contratiempo de este fallo es la "sencillez para explotarlo", ya que, asegura, no se requieren grandes conocimientos de seguridad informática; tan sólo acceso a la red, un navegador y cierta dosis de imaginación.
Otro extremo a tener en cuenta es el cumplimiento de la Ley Orgánica de Protección de Datos, que impone a los responsables de los ficheros de datos públicos adoptar las medidas técnicas necesarias que garanticen las seguridad de los mismos así como velen porque su acceso sea siempre autorizado.
Hay que recordar que este sitio web, habilitado desde el pasado 10 de diciembre, permite, además de acceder a datos de la Administración General del Estado como retribuciones de altos cargos, contratos públicos y subvenciones, que los ciudadanos realizan consultas con el fin de preguntar por datos que aún no aparecen en el portal.
webcache.googleusercontent.com/search?q=cache:wvgnCngqedMJ:www.informa
Ojo: El problema ya ha sido solventado, informa el Ministerio de Hacienda.
www.youtube.com/watch?v=Sl_TCv4F_48
Que otros hagan artículos basados en esa informacion ya es otra cosa
La web esta no la han hecho los del PP.
La han hecho informáticos de alguna subcontrata, presionados con el tema de los plazos (recordad que se ha publicado con un retraso de meses), y con ganas de salir del paso.
No es un problema del PP, sino del modelo de gobierno TI de la administración pública española, que viene de largo tiempo atrás y nadie hace gran cosa por resolver.
Inútiles con corbata