Después de que se armara gorda por el coste de los 500.000
€ de la web del Senado, que incluso llevó a algunas personas a
desarrollar la misma web pero enversión
Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de
que la plataforma de gestión de contenidos del Senado estaba basada
en Oracle Content Server y se habían olvidado de proteger el acceso
al CMS, permitiendo el acceso anónimo.
Cuando estuve viendo lo que estaba publicado
en Internet me asusté un poco, porque estaban todos los contenidos de
la web, incluida la información de los usuarios que los habían subido, los
archivos que estaban ocultos sin publicar, o las opciones de manipulación de
los mismos.
Por supuesto, me pareció un fallo bastante preocupante, así
que opté por reportarlo a la Guardia Civil para que avisaran a los
responsables y lo quitaran de Internet - o lo protegieran -. A día de
hoy, por suerte, no está ya online.
La pregunta es, ¿con todo este dinero no se podría
haber hecho una auditoría de seguridad web antes de ponerlo online? Poner
un servicio online sin pasarle un pentesting me parece descabellado hoy en día.
Si alguien hubiera sacado la lista de usuarios, y hubiera realizado un ataque a
la contraseña, por ejemplo con la idea
de las passwords suprayectivas, podría haberse liado parda.
Autor: Chema Alonso en http://www.elladodelmal.com/
No hay comentarios:
Publicar un comentario