El portal habilitado por la Comunidad de Madrid para obtener el certificado digital COVID, puesto en marcha el 7 de junio, permitía a cualquier usuario acceder a datos personales de miles de ciudadanos. Un fallo de programación hacía posible que al introducir un número de DNI en la url del sistema, este devolviera el nombre completo de la persona a la que pertenece ese DNI, su dirección, su teléfono móvil y el fijo.
|
etiquetas: fallo , web , sanidad , madrid
..
...
....
.....
suncontrata
Por algo es inimputable, pq no se rige por las leyes humanas.
Lo que sí es claro, es que a este paso, Felipe "el compiyogui preparao" seguramente se harte pronto de la choni de Ayuso.
CC: #8 #16
De todas formas es entre poco y nada probable que los datos de un rey aparezcan en ese listado, yo diria que lo han metido con calzador para llamar la atencion. Como dice el meme...
El resto de ciudadanos Somo contingentes pero el imprescindible
Este "bug" lo he podido ver desde el principio. No solo a través del DNI, sino que a través del nombre también se podía buscar cualquier persona. Ciertamente no he probado a buscar el nombre de ningún personaje de la Casa Real, pero cualquier otro ciudadano en el sistema de salud madrileño, podía ser localizado con su DNI, nº de teléfono, dirección...
De esto nos dimos cuenta desde el primer día en el laboratorio, pero ni nos sorprendió. Con el COVID se han superado todas las barreras de la LOPD habidas y por haber, así que ya ni nos extrañaba. Muchas empresas reclaman el resultado de la PCR de sus trabajadores, antes incluso, de que se notificase al mismo trabajador. Que si ya de por si, ceder a la empresa resultados médicos de sus trabajadores chirría por todos lados, encima quererlos en primicia resultaba insultante.
Referente a lo descrito en la noticia, asegurar que el portal no fue explotado, supongo que querrá decir que no se puso a ningún bot a probar todos los DNIs y obtener todos los datos posibles. Pero que cualquiera que tuviese acceso buscase a quién le dase la gana, y quedase registrado...
Me resultaría curioso saber si el portal ha sido creado por el personal de la Consejería de Sanidad, o fue subcontratado a alguna empresa privada. Es curioso que no lo mencione la noticia.
portalciudadanoccd.sanidadmadrid.org/ohgreencardciu
Edit: Perdona, acabo de ver que ha sido la de las cañas y la libertá
Madrileños, estáis en las mejores manos.
twitter.com/ComunidadMadrid/status/1412851120330919946
Pero intenta cometer un fallo así en la empresa que estoy ahora y en 10 segundos tienes a los marines apuntándote a la cabeza. Esto me suena a la misma cagada que pasó con el Lexnet hace ya bastante.
No sé qué me parece más cutre, si lode "fathers_family" y "mothers_family" para el primer y segundo apellido, siendo conceptos que desde hace años no existen en España (el primer apellido puede ser paterno o materno)...
O que en el sistema el Rey aparezca registrado con el nombre de "FELIPE DE", como primer apellido "BORBON Y DE", y como segundo apellido "GRECIA".
Además está pagado por todos, por lo que más motivo para que sea público.
- No es código, son datos (json)
- Lo del "father-family" y "mother-family" viene del especificación FHIR (Fast Healthcare Interoperability Resources) www.hl7.org/fhir/extension-humanname-mothers-family.html , así que no es achacable a este sistema
- En la forma de partir el nombre y los apellidos ya te doy la Razón... aunque probablemente quién lo metió lo hizo así porque sabía que si ponía "de Borbon" como apellido se indexaba por la "de" en vez de por "Borbon".
www.eldiario.es/madrid/madrid-deja-descubierto-datos-personales-pacien
Pero resulta que son dos fallos diferentes...
A todo lo demás: #ayusadas.
Y tienen la jeta de decir que "La incidencia no afectaba a datos clínicos y por supuesto no comprometía la alteración alguna de información en las bases de datos. Insistimos en qué ya está bloqueada"
Sólo han dejado al descubierto los datos relativos de contacto a cada persona y su DNI, los teléfonos y la dirección postal. Maravilloso, una exposición de datos personales. Pero al menos no eran datos sensibles, "podría ser peor".
Por cosas así debería caer una multaza a la empresa que comete esos fallos, y si reinciden, sanciones mayores. Se están tratando datos de cada persona y deberían tratarlos como si les fuese el trabajo en ello. No sé si lo hacen, pero la AEPD o bien no parecía muy activa ante denuncias o bien no era muy comunicativa. Y siendo algo público, no sé yo si harán algo e irán a por el responsable del tratamiento.
El que haya tenido que pedir una beca de infantil online lo sabrá: información inconexa entre páginas, errores aleatorios, firmas digitales que se fuma al subir documentación e imposibilidad de reiniciar el proceso si da fallo
No entiendo cómo puede salir eso en el fuente. Desde cuando se rellenan arrays con datos a lo bruto.
RecononoCo que experiencia laboral poca o ninguna. Pero esto no es así. Verdad ?
Admito enlaces a GitHub
El problema entonces está en la especificación y no en el que hizo la aplicación.
Lo de que el mothers family sea una extensión también me pregunto si encajará en el modelo Portugués, donde es el primer apellido el extendido.