Este hacker avisó de que cualquiera podía acceder a datos personales de autónomos hace 11 meses. Hoy en día, siguen accesibles

Este hacker avisó de que cualquiera podía acceder a datos personales de autónomos hace 11 meses. Hoy en día, siguen accesibles
3 comentarios

"Un informe alerta de que el domicilio personal, teléfono o NIF de muchos trabajadores por cuenta propia está al alcance de cualquiera en la Red, a veces bajo un módico precio", según anunciaba el pasado 19 de abril el periódico El País.

El artículo relataba la historia de una diseñadora gráfica que trabaja como autónoma y que, tras buscarse a sí misma en Google, descubrió que un portal de información empresarial mostraba todos sus datos personales online, pese a que ella acostumbra a no compartir esos datos en Internet.

Eso desembocó en un informe elaborado por la organización activista Xnet que mostraba cómo esos datos terminaban en manos de Camerdata, una empresa vinculada a las Cámaras de Comercio que termina vendiendo esos datos a portales como Einforma o Axesor.

Sin embargo, en otros casos la filtración de esa clase de datos privados de los autónomos sigue una ruta mucho más sencilla: de la web al navegador. Más concretamente, de una web de acceso público al navegador de cualquiera. Y a las administraciones públicas parece importarles bien poco.

Un vistazo a…
Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT

Un aviso atendido en lo menos relevante, e ignorado en lo más grave

Jaime Gómez-Obregón, quien se autodefine como 'hacker de la Administración Pública' y de cuya plataforma 'SuperBOE' os hablábamos hace poco, ha comentado hoy en Twitter esa noticia de El País, revelando que él mismo descubrió en un portal público (concretamente, en el 'Registro de licitadores y empresas clasificadas' de la Plataforma de Contratación Pública de Euskadi) el agujero de seguridad que permitía acceder a toda esa información:

"Avisé inmediatamente al organismo responsable. Once meses después el agujero sigue ahí".

Esta clase de filtración de datos resulta mucho más lesiva para los autónomos con bajos ingresos, para los cuales el domicilio de su negocio muchas veces coincide con su domicilio particular

El problema radicaba en que la respuesta del servidor a la consulta de datos devuelve un objeto JavaScript en el que, además de la información que muestra la página web (número de inscripción y denominación social del autónomo), se incluyen todos los demás datos recogidos en la base de datos.

Así, aunque un mero visitante de la web nunca llegará a visualizarlos, cualquiera que haya observado el particular funcionamiento de las peticiones del servidor podrá acceder a los mismos... basta con usar las herramientas para desarrolladores incluidas de serie con cualquier navegador, como se ve a continuación:

Filtracion

Según explicaba nuestro protagonista en el e-mail que remitió a los responsables del portal,

"Desconozco si esto es deliberado o si se trata de una distribución inadvertida de estos datos. También desconozco si estos datos están protegidos por el RGPD. En todo caso, y puesto que en el registro de licitadores sólo se publica el nombre y el número de inscripción de cada lado, parece excesivo que estos datos particulares se envíen en la mencionada respuesta XHR".

Pese a que el e-mail enviado por Gómez-Obregón a la administración regional vasca data de febrero de 2022, este problema no se ha solventado aún. No por desidia: los teléfonos y correos sí se suprimieron de la respuesta XHR, pero parece que datos como el NIF y los domicilios (en muchos casos particulares) no se han considerado suficientemente relevantes como para impedir que sigan accesibles online.

"Adicionalmente a lo anterior, el buscador de licitadores parece que podría ser vulnerable a otro tipo de ataques malintencionados", explica Gómez-Obregón, ilustrándolo con un sencillo ataque de inyección de código, para el que basta con introducir un código HTML cualquiera en el campo 'Texto' del formulario de búsqueda. "Se observa que la entrada del usuario es incorporada sin filtrar al documento servido". Al menos esto "sí lo resolvieron" tras el aviso de febrero.

Inyeccion

Imagen | Basada en original de Blue Coat Photos

Temas
Inicio