Portada
mis comunidades
otras secciones
#34:
Hola gente, soy Miguel Ángel Criado, el autor del artículo. No suelo comentar mis noticias que tengo la suerte de que lleguen a Meneame. Creo que los comentarios cobran una vida independiente de la noticia. Pero sólo quería decir, en especial a #10 #12 #27 que la información no es errónea. Cuando escribí el artículo, la dirección llevaba a un portal donde sólo se exigía a) DNIe o certificado digital o b) Datos de contraste, los mencionados núm. de tlf y el NIF, además del dígito de control. Tampoco había limitación de intentos (comprobado con tres personas cercanas a mí, las tres en paro). Así que la gente del Ministerio ha debido de hacer una chapuza deprisa y corriendo para taparlo. Si, gracias al efecto meneame, se ha conseguido que lo arreglen, pues yo me doy por satisfechos. No es de recibo que a la putada de estar sin trabajo, tengan que soportar que sus datos anden por ahí.
#1:
Ya se sabe...no es un fallo, es una "feature"
#18:
#17 Son sólo 100 posibilidades con dos intentos por cada ip. Como yo tengo ip dinámica, cada vez que apago y enciendo el router tengo una ip nueva. Apagar, encender y volver a sincronizar me lleva 1min 14seg, siempre el mismo tiempo pero vamos a ser generosos y pongamos 1min 16seg. 100 posibilidades con dos intentos por ip cada 1min 16seg nos sale a (100/2)* 76seg = 3800 seg = 63.33 minutos.
Es decir, en 63.33 minutos habré probado las 100 posibilidades y entrado. Si a eso le sumas que nunca es necesario probar todas las combinaciones y que existen proxys para evitar tener que apagar y encender el router, haz cálculos y verás como estamos ante un gran agujero de seguridad.
Es decir, en 63.33 minutos habré probado las 100 posibilidades y entrado. Si a eso le sumas que nunca es necesario probar todas las combinaciones y que existen proxys para evitar tener que apagar y encender el router, haz cálculos y verás como estamos ante un gran agujero de seguridad.
Comentarios
Ya se sabe...no es un fallo, es una "feature"
y aquí la url en cuestión
https://www.sepe.es/DPrestanetWeb/jsp/AutDatosContraste.jsp?aplicacion=sdc&pagina=0
"Los datos introducidos no son correctos. No se permiten más intentos."
Pues si pruebas 2 veces y ya te dice eso... tampoco es demasiado bug
#6 He probado conmigo mismo. No estoy en paro ni cobro prestación, pero me da la opción de solicitar un "Certificado de bonificación" que no tengo ni idea de lo que es, aunque al aceptar el servidor da un error.
#12 Cierto. ¿Lo habrán corregido?
#10 y #12 No sé como era antes, quizás eso lo pidan ahora y no antes. De todas formas eso no es suficiente, apagad el router y volved a encenderlo para cambiar de IP y tendréis otra vez dos intentos. Es cuestión de paciencia... o de crear un script que lo haga por ti, lo cierto es que en menos de una hora entras y eso es un "bug" del copón.
#16 No sale tan así pero ten en cuenta que si es viable a mano sin demasiada dificultad, que lo es, con un script puedes robar unos cuantos datos y si a eso le sumamos proxys...
#17 no, es un fallo como un piano. El limite de 2 intentos solo es si haces click en volver... si recargas la pagina del formulario, vuelves a tener 2 intentos. No hace falta ni cambiar la IP como dice #15 o #18.
A mano, en 10 min haces las 100 posibilidades.
NO EXISTE LÍMITE REAL DE INTENTOS
Como apunta #20, accediendo directamente al formulario se sigue permitiendo realizar la consulta. En una prueba realizada hace un momento he tardado menos de cinco minutos en acceder a mano a unos datos al azar.
Así pues, cabe suponer que no se realiza ni filtrado por IP ni por cookies, ni ningún otro tipo de control real.
Eso sí, una vez dentro sólo se muestra la opción de obtener un certificado de bonificaciones, que según se indica se remitirá por correo postal.
#20 Es verdad, creí que al menos te bloqueaban por IP y ni probé a recargar la página.
He entrado en mi cuenta en cinco minutos a mano, haces un script y entras en cinco segundos.
#22 ¿De qué va ese certificado de bonificaciones?
#27 Quizás no han querido publicar toda la información, pues acabo de comprobar que se puede acceder a otros servicios del sistema usando el mismo principio. Por ejemplo:
https://sede.sepe.gob.es/DServiciosPrestanetWEB/TipoDatosContrasteAction.do
da acceso a certificados de situación, de prestación actual, de importes por periodo y de importes anuales.
Otro tipo de consultas, sin embargo, requieren DNIe, certificado digital o usuario/contraseña del sistema.
#23 No tengo ni idea de qué es ese certificado.
#29 confirmado acabo de ver todos mis datos!!
#27 Creo que tus dudas ya han sido resueltas en los comentarios posteriores. De todas formas, está bien no creérselo todo pero tampoco hay por qué no creer nada. Todo lo que logramos comprobar se ajusta a lo que denuncian, entonces es lógico que si se llegó a denunciar, todo lo demás también sea cierto.
#30 ¿en qué dirección exactamente? me imagino que en la de 29
#36 Pero por lo que veo, este no es un sistema de usuario/contraseña donde la persona se haya olvidado de cambiar su clave sino un simple formulario donde se pide expresamente DNI, Dígito de control y teléfono sin que tú tengas la posibilidad de cambiar nada. El DNI es relativamente fácil de conseguir, yo quise probar con una persona y no pude porque no sé su teléfono actual, el DNI lo busqué en google y lo conseguí de unas listas en PDF de la Xunta de cuando se presentó a oposiciones (de paso también vi en donde había sido admitido/rechazado, qué notas sacó en distintas pruebas, etc, vamos, la privacidad brilla por su ausencia)
#39 No creo que los parados no importen a nadie, es más, todo esto se hce por ellos. #38 Estoy de acuedo contigo, no és un buen sistema, pero no es un error, "simplemente" que no es un buen sistema.
#38 He visto este formulario, es otro mecanismo diferente al que comenté.
#18 y #20 ¿Y una vez dentro que se supone que consigues? La noticia dice: ver su domicilio, cuenta corriente donde cobra prestaciones sociales, cuantía y otros datos sobre las prestaciones, y otra serie de datos, y eso es FALSO.
Solo permite solicitar un certificado de bonificaciones que enviarán por correo a la dirección que tiene de ti el servicio de empleo.
#27 nunca he estado parado, así que no se si eso que sale es lo que le sale a todo el mundo o depende de quien sea sale una cosa o otra. O directamente, es otra dirección web la que da el problema.
Hola gente, soy Miguel Ángel Criado, el autor del artículo. No suelo comentar mis noticias que tengo la suerte de que lleguen a Meneame. Creo que los comentarios cobran una vida independiente de la noticia. Pero sólo quería decir, en especial a #10 #12 #27 que la información no es errónea. Cuando escribí el artículo, la dirección llevaba a un portal donde sólo se exigía a) DNIe o certificado digital o b) Datos de contraste, los mencionados núm. de tlf y el NIF, además del dígito de control. Tampoco había limitación de intentos (comprobado con tres personas cercanas a mí, las tres en paro). Así que la gente del Ministerio ha debido de hacer una chapuza deprisa y corriendo para taparlo. Si, gracias al efecto meneame, se ha conseguido que lo arreglen, pues yo me doy por satisfechos. No es de recibo que a la putada de estar sin trabajo, tengan que soportar que sus datos anden por ahí.
#34 seguro que ni lo sabia quien lo tenia que saber por eso no hicieron nada hasta verlo corriendo por la web
#35 el asunto fue denunciado ante la AEPD y la AEPD dijo que todo estaba bien, así que "saberlo" lo sabían que estaba así.
#34 No es del todo real que haya un fallo. Trabajo en el INEM. Cuando el usuario viene a por las claves se le da por usuario su DNI y por contraseña su DNI con la letra. Se le indicia a la persona, de forma insistente, que cuando llegue a casa las cambie. Se les facilita este tipo de contraseñas para que le sea más fàcil recordarlas, por si, como pasa a menudo, pierden el papel que damos.
Por lo que si alguien no cambia las contraseñas, y conoce al susodicho tan profundamente que conoce su DNI, si que es cierto que puede entrar.
Yo no lo diria un fallo de seguridad. No digo que el autor proclame esto, sinó la notícia.
Saludos!
Los datos introducidos no son correctos. No se permiten más intentos.
¿Errónea?
¿Alguien lo ha comprobado?
Y volviendo atrás:
SRVE0255E: No se ha definido un WebGroup/Host virtual para manejar /CertBonificacionWEB/ActionIntroduceIdentificacionInternet.do.
SRVE0255E: No se ha definido un WebGroup/Host virtual para manejar www.sepe.es:80.
"no será corregido" pues nada hoy me paso la tarde comentándolo en loss irc anonymous, haber si se corrige o no.
#4 "no será corregido" pues nada hoy me paso la tarde comentándolo en loss irc anonymous, haber si se corrige o no.
#4 Ya te digo, o si no directamente al juzgado más cercano con la Ley de Protección de Datos en la mano. A ver si lo corrigen o no lo corrigen..
#9 Lo malo del juzgado, aparte del laargo tiempo hasta que se obligue a corregirlo, es que la multa encima la pagaremos entre todos
A la AEPD le gusta esto.
Que vergüenza: tanta gente en paro y no encuentran a nadie para que corrija eso.
#14 informáticos que hagan las cosas bien no encontraras fácilmente en el paro.
#25 Eso sería si los procesos de selección fueran un poco profesionales. La mayoría de las veces no lo son.
Te cuento un caso que me contaron: en una determinada empresa eliminaban todos los candidatos con nombres compuestos. Es porque los hispanoamericanos suelen tener nombres compuestos y así se los quitaban de encima.
El fallo consiste en bajar al bar más cercano y preguntar
#19 Yo tengo dos cuentas en el mismo banco y tienen dígitos de control distintos. Se calcula en base al número de la cuenta:
http://www.luciano.es/utiles/ccc.htm
Pide el dígito de control de la cuenta corriente como campo obligatorio, vale que son 99 posibilidades, pero no sale así como así a la primera...
#16 ¿99 posibilidades?
Hasta la fecha no he tenido ninguna cuenta cuyo dígito de control no fuese 17.
si, funciona... es solo tener la paciencia de probar 99 numeros... lo demas lo sabes si medio conoces a alguien cercano...
Hace tiempo mis compañeros de trabajo descubrieron por casualidad una vulneración que permitía acceder a los datos fiscales de cualquier español sabiendo unos pocos datos de antemano. No he comprobado si se corrigió aquello, pero visto lo visto parece que siguen manteniendo el mismo nivel de seguridad en la administración electrónica.
Y luego nos preguntamos por qué van las cosas tán mal...
Desafortunadamente los parados no importan a nadie
Al fin cuantas posibilidades hay
¿Es que ya no hay informáticos en la Seguridad Social...?
Erronea como un piano. Hay que tener los números de control de la cuenta corriente (100 posibilidades) y sólo hay dos intentos.
#17 Son sólo 100 posibilidades con dos intentos por cada ip. Como yo tengo ip dinámica, cada vez que apago y enciendo el router tengo una ip nueva. Apagar, encender y volver a sincronizar me lleva 1min 14seg, siempre el mismo tiempo pero vamos a ser generosos y pongamos 1min 16seg. 100 posibilidades con dos intentos por ip cada 1min 16seg nos sale a (100/2)* 76seg = 3800 seg = 63.33 minutos.
Es decir, en 63.33 minutos habré probado las 100 posibilidades y entrado. Si a eso le sumas que nunca es necesario probar todas las combinaciones y que existen proxys para evitar tener que apagar y encender el router, haz cálculos y verás como estamos ante un gran agujero de seguridad.
un fallo un fallo.....
EDIT
¿Y cuanto no habrán pagado por dicha aplicación?
Si fuera su dinero rodarían cabezas