El Portal de la Transparencia del Gobierno se ha estrenado con una grave vulnerabilidad que permite acceder fácilmente a los datos personales suministrados en las consultas ciudadanas. Según comunica el experto en privacidad Samuel Parra a El Mundo, un simple cambio en la URL de la página permite ojear el contenido de otras consultas junto a nombre, apellidos, domicilio, email y DNI/NIF del remitente.
La web desarrollada por el Ministerio de Hacienda y Administraciones Públicas arrancaba el pasado día 10 de diciembre con más de medio millón de registros de la Administración y la posibilidad de realizar consultas adicionales. El ministerio ha comunicado esta madrugada a El Mundo que los responsables técnicos del portal ya han conseguido solucionar el problema tras siete días de funcionamiento.
El Portal de la Transparencia verifica las consultas ciudadanas a través de certificado digital o DNIe. Sin embargo, la web no volvía a verificar los permisos al acceder a otros comprobantes de la consulta en PDF, lo cual era posible a través de la modificación aleatoria de la URL devuelta por el portal.
Este error podría haber dado acceso indiscriminado a las consultas presentadas durante los últimos días y a las identidades de los remitentes. Algo que, según Parra, demuestra la indiferencia de los responsables del portal hacia la Ley Orgánica de Protección de Datos.
"Dado que nos encontramos ante un fallo de seguridad que no supone quebrar ninguna medida de seguridad específica, ni la utilización de contraseñas ajenas, la falta de diligencia a la hora de diseñar el Portal de Transparencia resulta manifiesto", explica el experto. "La más básica de las auditorías de seguridad informática habría detectado el problema".
La web desarrollada por el Ministerio de Hacienda y Administraciones Públicas arrancaba el pasado día 10 de diciembre con más de medio millón de registros de la Administración y la posibilidad de realizar consultas adicionales. El ministerio ha comunicado esta madrugada a El Mundo que los responsables técnicos del portal ya han conseguido solucionar el problema tras siete días de funcionamiento.
El Portal de la Transparencia verifica las consultas ciudadanas a través de certificado digital o DNIe. Sin embargo, la web no volvía a verificar los permisos al acceder a otros comprobantes de la consulta en PDF, lo cual era posible a través de la modificación aleatoria de la URL devuelta por el portal.
Este error podría haber dado acceso indiscriminado a las consultas presentadas durante los últimos días y a las identidades de los remitentes. Algo que, según Parra, demuestra la indiferencia de los responsables del portal hacia la Ley Orgánica de Protección de Datos.
"Dado que nos encontramos ante un fallo de seguridad que no supone quebrar ninguna medida de seguridad específica, ni la utilización de contraseñas ajenas, la falta de diligencia a la hora de diseñar el Portal de Transparencia resulta manifiesto", explica el experto. "La más básica de las auditorías de seguridad informática habría detectado el problema".
Chapuzas de mierda a saber cuantos millones han cobrado esta vez por hacer el portal
siempre es lo mismo.
Si esto es cierto, ya podeis cerrar el hilo, no hay más que debatir...
Cientos de miles de euros para una chapuza hecha por becarios y con un grueso de intermediarios y comisionistas que deja al sobrecoste de precios del sector primario como simplemente algo anecdótico.