lunes, diciembre 10, 2012

"Descuido" gordo en la Web del Senado de los 500.000 €

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero en versión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.

Figura 1: Contenidos de la web del Senado en Oracle Content Server

Cuando estuve viendo lo que estaba publicado en Internet me asusté un poco, porque estaban todos los contenidos de la web, incluida la información de los usuarios que los habían subido, los archivos que estaban ocultos sin publicar, o las opciones de manipulación de los mismos.

Figura 2: Información detallada de cada contenido, incluyendo el usuario que lo subió

Por supuesto, me pareció un fallo bastante preocupante, así que opté por reportarlo a la Guardia Civil para que avisaran a los responsables y lo quitaran de Internet - o lo protegieran -. A día de hoy, por suerte, no está ya online.

Figura 3: Opciones de manipulación de ficheros. Si alguien consigue una password.

La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online? Poner un servicio online sin pasarle un pentesting me parece descabellado hoy en día. Si alguien hubiera sacado la lista de usuarios, y hubiera realizado un ataque a la contraseña, por ejemplo con la idea de las passwords suprayectivas, podría haberse liado parda.

Saludos Malignos!

19 comentarios:

Daniel Maldonado dijo...

No se por qué creo que se patinaron toda la plata!

Anónimo dijo...

Descuido ó simplemente ineptitud supina ?
Yo lo llamaria chorizeo al por mayor...
P.D. Demuestra que no eres un robot. Pues hombre, fácil: Quita esa p... m... de comprobación que me tiene hasta los p... co...
Ves que fácil ? ;-)

Pere dijo...

Encima de ladrones, ineptos!

Sergio de la Torre dijo...

Qué vale una licencia de Oracle Content Server?. Me parece matar moscas a cañonazos

Anónimo dijo...

Mando un saludo desde aquí a mi colega "Edu el trujas" el cual, con toda probabilidad es el autor del descubrimiento.

Alejandro Ramos dijo...

Solo se puede decir un enorme:

JOOOOOOOOOODER

Con una letra de figlet de 72.

Alonso Vidales dijo...

Al lado de esto parece una tontería, lo he reportado, pero no me hacen caso: http://alonso-vidales.blogspot.com.es/2012/12/non-persistence-xss-on-spanish-senate.html

Roberto dijo...

¡Calla insensato, que afectas negativamente a la imagen de la marca "España"!

Juas...

Anónimo dijo...

Hola, me parece totalmente normal, de los 500000, una parte ira a licencias, otra a beneficios, y una pequeñisima a sueldos lo más seguro que un pardillin con poca experiencia con el Oracle Content Manager, y con mucha presión.
Y encima se llevara las culpas este

Anónimo dijo...

Bueno,, tú tampoco eres demasiado discreto, que digamos...

La prueba de lo que digo en la segunda fotografía, en la parte inferior.

Chema Alonso dijo...

@Anónimo, es la ruta a una imagen en la parte públic, solo tienes que buscar las URLs de las imágenes y te salen, no es tan difícil...

Saludos!

TechBlog dijo...

Sinceramente no se por qué lo reportas, yo no lo hubiera reportado lo hubiese dejado para que le jodieran la web

Anónimo dijo...

¿Qué empresa le hará ahora la auditoría a esta web? Eso será público?

Anónimo dijo...

Estoy de acuerdo con Techblog, no se merecen absolutamente nada, vale el animo de ayuda pero dado a quien pertenece la web y todo el cachondeo sobre la misma y lo que se rien de todos...

leftwing1974 dijo...

Y digo yo...¿por qué un proyecto informático no es como hacer un puente o un túnel? Debería hacerse conforme a unos estándares, buenas prácticas, normativa de tests, etc, etc...Ah, no! Que entonces hay que colegiar a los ingenieros y programadores y se nos acaba el chollo de la mano de obra barata y hay que pagarles lo que se les paga en USA, UK, Australia, Canadá o Israel

Anónimo dijo...

Yo no hubiese dicho nada al Gob, es más, lo hubiese publicado en todos los medios para que vea la gente que encima que nos chulean la pasta luego seguro que han recortado el contrado con el proveedor ahorrandose la auditoria de seguridad y alguien ha pillado pasta pasta.
Ahora a ver en que medios "no especializados" sale esta noticia.. EN NINGUNO! ;-)

miniminiyo dijo...

La cosa es que españa tecnologicamente va mal,y no porque falten profesionales,que los hay y muy buenos,sino porque el enchufe,el amigismo y el "si solo es una pagina, que peligro puede tener" se lleva mucho,la gente desconoce hasta que punto puede hacer daño un fallo en un computador,en una web,en un servidor...etc

Anónimo dijo...

Es normal, por las prisas de subir a producción y que todo funcione estas cosas nunca se miran, tampoco se invierte pasta en seguridad, más del 90% de la pasta se la llevan los comerciales, licencias y el hierro, caso de Oracle/SUN. Además los 30k que como mucho le habrán dado al partner X para hacer la web encima no le pidas que securice el tema, seguro que el ingeniero/desarrollador avisó que habría que hacer una mini auditoría o al menos un mini hardening y pasaron de su culo porque si no no entraban en tiempos, esto es de lo más normal y en Oracle/Sun es el pan nuestro de cada día, un día les reventará todo en su jeta de tanto inflarla.

Anónimo dijo...

Esto es digno de un articulo en ingenio2010 http://www.ingenio2010.com/index.php/Senado_2012

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares