23 meneos
223 clics
Los datos personales de 3,6M de alumnos y padres de Madrid, expuestos en la red
Los 1,2 millones de alumnos de toda la Comunidad de Madrid y sus respectivos padres o tutores legales (en total, 3,6 millones de personas) tienen un problema: sus datos personales han estado expuestos en internet al alcance de cualquiera debido a una brecha de datos.
|
comentarios cerrados
ALUMNOS DE 3 A 18 AÑOS
Los datos personales de 3,6M de alumnos y padres de Madrid, expuestos en la red
Según ha comprobado este diario, la Consejería de Educación de Madrid ha sufrido una brecha de datos que dejó expuesta la información privada de millones de alumnos, pero también de sus padres
C. OTTO
Ciberseguridad
Hackers
Madrid
31/10/2020 14:30 - Actualizado: 31/10/2020 18:29
Los 1,2 millones de alumnos de toda la Comunidad de Madrid y sus respectivos padres o tutores legales (en total, 3,6 millones de personas) tienen un problema: sus datos personales han estado expuestos en internet al alcance de cualquiera debido a una brecha de datos. Así lo aseguran fuentes conocedoras de dicha brecha a este diario, que ha podido comprobar la existencia de varios documentos correspondientes a la matrícula de alumnos de 3 a 18 años que contienen tanto su información como la de los tutores que firman la matrícula.
La brecha de datos fue descubierta entre finales de mayo y principios de junio de este año. Fue precisamente un padre el que, cuando accedió a la matrícula de su hijo en la web de la Consejería de Educación de la Comunidad de Madrid, observó que también podía acceder a las matrículas y datos personales de otros alumnos. Este diario ha comprobado que, efectivamente, los expedientes son reales y corresponden a los alumnos y padres, cuyos datos aparecen visibles.
Chapuza de Xiaomi: sus móviles en tiendas de Madrid exponen datos de ventas y clientes
C. OTTO
DNI, domicilio, móvil, renta mínima...
El fallo informático era tan sencillo como crítico. Cuando unos padres acceden a la web de la secretaría virtual de los centros docentes de Madrid, para consultar la matrícula de sus hijos deben introducir un usuario y una contraseña y, a continuación, acceden a la documentación en una web cuya url tiene la siguiente forma: raices.madrid.org/secretariavirtual/descarga/solicitud/28563/ (Número inventado).
(El número final de identificación ha sido pixelado por este diario.)
(El número final de identificación ha sido pixelado por este diario.)
Lo que descubrió este padre es que, si cambiaba aleatoriamente el número del final de la url, podía acceder a las matrículas de otros alumnos. Cada una de ellas estaba registrada en un documento PDF en el que aparecían los siguientes datos personales:
Alumnos: Nombre y apellidos completos, DNI (si… » ver todo el comentario
También es cierto que yo activo el modo lector “solo texto” y de ese modo no aparece.
Ya no puedo descartar... que los @admin decidan.
www.aepd.es/es/la-agencia/donde-encontrarnos
www.ccn-cert.cni.es/gestion-de-incidentes/notificacion-de-incidentes.h
Por cierto, tienen obligación de informar a todos aquellos cuyos datos hayan quedado presuntamente expuestos. Hay hasta un herramienta para saber si hay que informar o no
www.aepd.es/es/guias-y-herramientas/herramientas/comunica-brecha-rgpd
CC #0 (hacia tiempo que no sabía de ti...)
Ahh y gracias por compartir la noticia.
Sólo falta que encima metan en juicio y empapelen al que haya descubierto el fallo, como ha pasado en otros casos, en esta nuestra querida Españistán.
www.xataka.com/seguridad/mientras-el-mundo-recompensa-a-quien-encuentr