Un fallo en el Portal de la Transparencia deja desprotegidos datos sensibles de los usuarios

En El Mundo http://www.elmundo.es/tecnologia/2014/12/18/54918051268e3e1e028b458a.html

Ojo: El problema ya ha sido solventado, informa el Ministerio de Hacienda.

Cuando harán los del PP una cosa bien hecha de principio a fin. Nos dejan en ridiculo mundial dia si, dia tambien. #marcaespaña

Da 404 ahora mismo. De la caché:

El Portal de la Transparencia inaugurado por el Gobierno para que los ciudadanos puedan acceder a parte de las cifras y entretelas del Estado, la web ya presenta un grave fallo: se puede acceder sin impedimentos a los datos y peticiones de los ciudadanos que han hecho una consulta en dicho portal.

Según ha descubierto el experto en privacidad Samuel Parra y desvela hoy el diario El Mundo, este fallo permite acceder a todos los datos de un ciudadano que haya hecho una consulta en dicha web con tan sólo cambiar aleatoriamente parte de la URL que aparece en el navegador y obteniendo un comprobante de la consulta, un documento en formato PDF. Entre los datos revelados se encuentran nombres, apellidos, DNI y NIF y los propios resultados de la búsqueda, que de este modo quedan "desprotegidos".

El problema en este caso radica en que, pese a estar verificadas mediante DNI electrónico o Certificado Digital las consultas realizadas, el portal se salta la verificación de los permisos para poder acceder a otros documentos ajenos una vez recibido el resultado de la consulta. Esto estaría provocando un acceso indiscriminado a las solicitudes de información que han cursado los ciudadanos.

En este sentido, el experto en privacidad contactado por El Mundo revela que el principal contratiempo de este fallo es la "sencillez para explotarlo", ya que, asegura, no se requieren grandes conocimientos de seguridad informática; tan sólo acceso a la red, un navegador y cierta dosis de imaginación.

Otro extremo a tener en cuenta es el cumplimiento de la Ley Orgánica de Protección de Datos, que impone a los responsables de los ficheros de datos públicos adoptar las medidas técnicas necesarias que garanticen las seguridad de los mismos así como velen porque su acceso sea siempre autorizado.

Hay que recordar que este sitio web, habilitado desde el pasado 10 de diciembre, permite, además de acceder a datos de la Administración General del Estado como retribuciones de altos cargos, contratos públicos y subvenciones, que los ciudadanos realizan consultas con el fin de preguntar por datos que aún no aparecen en el portal.

http://webcache.googleusercontent.com/search?q=cache:wvgnCngqedMJ:www.informacionsensible.com/news/3514/Un-fallo-en-el-Portal-de-la-Transparencia-deja-desprotegidos-datos-sensibles-de-los-usuarios/+&cd=1&hl=en&ct=clnk&gl=es