"Un informe alerta de que el domicilio personal, teléfono o NIF de muchos trabajadores por cuenta propia está al alcance de cualquiera en la Red, a veces bajo un módico precio", según anunciaba el pasado 19 de abril el periódico El País.
El artículo relataba la historia de una diseñadora gráfica que trabaja como autónoma y que, tras buscarse a sí misma en Google, descubrió que un portal de información empresarial mostraba todos sus datos personales online, pese a que ella acostumbra a no compartir esos datos en Internet.
Eso desembocó en un informe elaborado por la organización activista Xnet que mostraba cómo esos datos terminaban en manos de Camerdata, una empresa vinculada a las Cámaras de Comercio que termina vendiendo esos datos a portales como Einforma o Axesor.
Sin embargo, en otros casos la filtración de esa clase de datos privados de los autónomos sigue una ruta mucho más sencilla: de la web al navegador. Más concretamente, de una web de acceso público al navegador de cualquiera. Y a las administraciones públicas parece importarles bien poco.
Un aviso atendido en lo menos relevante, e ignorado en lo más grave
Jaime Gómez-Obregón, quien se autodefine como 'hacker de la Administración Pública' y de cuya plataforma 'SuperBOE' os hablábamos hace poco, ha comentado hoy en Twitter esa noticia de El País, revelando que él mismo descubrió en un portal público (concretamente, en el 'Registro de licitadores y empresas clasificadas' de la Plataforma de Contratación Pública de Euskadi) el agujero de seguridad que permitía acceder a toda esa información:
"Avisé inmediatamente al organismo responsable. Once meses después el agujero sigue ahí".
El problema radicaba en que la respuesta del servidor a la consulta de datos devuelve un objeto JavaScript en el que, además de la información que muestra la página web (número de inscripción y denominación social del autónomo), se incluyen todos los demás datos recogidos en la base de datos.
Así, aunque un mero visitante de la web nunca llegará a visualizarlos, cualquiera que haya observado el particular funcionamiento de las peticiones del servidor podrá acceder a los mismos... basta con usar las herramientas para desarrolladores incluidas de serie con cualquier navegador, como se ve a continuación:
Según explicaba nuestro protagonista en el e-mail que remitió a los responsables del portal,
"Desconozco si esto es deliberado o si se trata de una distribución inadvertida de estos datos. También desconozco si estos datos están protegidos por el RGPD. En todo caso, y puesto que en el registro de licitadores sólo se publica el nombre y el número de inscripción de cada lado, parece excesivo que estos datos particulares se envíen en la mencionada respuesta XHR".
Pese a que el e-mail enviado por Gómez-Obregón a la administración regional vasca data de febrero de 2022, este problema no se ha solventado aún. No por desidia: los teléfonos y correos sí se suprimieron de la respuesta XHR, pero parece que datos como el NIF y los domicilios (en muchos casos particulares) no se han considerado suficientemente relevantes como para impedir que sigan accesibles online.
En resumen:
— Jaime Gómez-Obregón (@JaimeObregon) January 2, 2023
1⃣ El Estado te obliga a darle tus datos
2⃣ No los protegen
3⃣ Otros acceden y los usan para acosarnos con llamadas publicitarias y fraudes («phishing», «smishing»…)
4⃣ Pagan con dinero público campañas: «Piénsalo dos veces antes de dar tus datos personales…» pic.twitter.com/Us3gNcQoka
"Adicionalmente a lo anterior, el buscador de licitadores parece que podría ser vulnerable a otro tipo de ataques malintencionados", explica Gómez-Obregón, ilustrándolo con un sencillo ataque de inyección de código, para el que basta con introducir un código HTML cualquiera en el campo 'Texto' del formulario de búsqueda. "Se observa que la entrada del usuario es incorporada sin filtrar al documento servido". Al menos esto "sí lo resolvieron" tras el aviso de febrero.
Pero oh como tú tengas un fallo de seguridad en tu web y no informes. O no pongas tu nombre, dni, dirección, aviso de cookies en ella, etc
— Ángel Sagredo | Web Dev | SEO (@sagredev) January 2, 2023
Imagen | Basada en original de Blue Coat Photos
Ver 3 comentarios