Foros de la Plataforma por una Vivienda Digna

[nene]

Un grave error en el web de Ministerio de Vivienda daba acceso a datos personales

Desactivado el portal de consulta de la Renta Básica de Emancipación
El Ministerio abre abre una investigación

El sitio web del Ministerio de la Vivienda ha albergado una vulnerabilidad a través de la cual se pueden acceder datos de quienes han solicitado la "renta básica a la emancipación", lo que podría haber dado lugar a robo de datos personales y a una violación de la Ley Orgánica de Protección de Datos.

El error estaba en un portal del Ministerio dedicada al seguimiento de las solicitudes de la "renta básica a la emancipación", un sitio web que es comúnmente conocido por los trabajadores del centro como el portal "qué hay de lo mío".

Esta vulnerabilidad, descubierta por un lector del Navegante y comunicada directamente al Ministerio, es relativamente fácil de explotar para realizar ataques 'spoofed form', por el que cambiando ciertos parámetros en la página se puede acceder de manera aleatoria a los datos de un ciudadano.

En esta página -http://rbe.vivienda.es-, los solicitantes de las ayudas para el alquiler del ministerio podían acceder a sus datos personales y ver la evolución de sus peticiones. No obstante, y de una manera muy sencilla, se podía cambiar algunos identificadores en el código fuente del sitio.

De esta manera, al consultar los detalles de esta 'nueva' consulta, se podía aceder sin problemas al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquiler de vivienda o información fiscal comprometida, como deudas con el Fisco.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

Hay que destacar que el portal víctima de la vulnerabilidad no fue desarrollado por el equipo técnico interno de Vivienda, a diferencia del resto del sitio web del citado Ministerio.

Un gran riesgo

Según el lector que informó de esta vulnerabilidad, que trabaja en el sector de la seguridad informática, la obtención de esta información incluso "se podría haber automatizado de forma relativamente sencilla, obteniendo los datos de todos los beneficiarios de la ayuda", mediante un sencillo script.

Además, recuerda el lector, "para evitar este fallo, sólo hace falta verificar las entradas que envía el cliente".

Asimismo, apunta que "la página no está cifrada y los datos se envían planos, por lo que cualquiera en la misma red de alguien que acceda a la aplicación puede capturar su DNI y clave con un 'sniffer'".

En un comunicado, el Ministerio de Vivienda asegura que "ha abierto una investigación ante la posibilidad de que un beneficiario con acceso autorizado a la aplicación de consulta de los expedientes de la Renta Básica de Emancipación pueda consultar información relativa a los expedientes de otros beneficiarios". Mientras se resuelve en problema, el portal permanecerá cerrado.

El órgano encargado de controlar el cumplimiento de la Ley Orgánica de Protección de Datos es la Agencia Española de Protección de Datos (AEPD), la cual no tiene capacidad para sancionar económicamente directamente a organismos de la administración pública; tan sólo puede comunicarlo a dicha administración y al Defensor del Pueblo, en un procedimiento conocido como 'declaración de infracción'.
http://www.elmundo.es/elmundo/2010/05/19/navegante/1274273564.html