viernes, 20 de junio de 2014

"Descuido" gordo en la Web del Senado de los 500.000 €

Después de que se armara gorda por el coste de los 500.000 € de la web del Senado, que incluso llevó a algunas personas a desarrollar la misma web pero enversión Low Cost, un lector del blog - ¡Gracias Eduardo! - me alertó de que la plataforma de gestión de contenidos del Senado estaba basada en Oracle Content Server y se habían olvidado de proteger el acceso al CMS, permitiendo el acceso anónimo.


Cuando estuve viendo lo que estaba publicado en Internet me asusté un poco, porque estaban todos los contenidos de la web, incluida la información de los usuarios que los habían subido, los archivos que estaban ocultos sin publicar, o las opciones de manipulación de los mismos.



Por supuesto, me pareció un fallo bastante preocupante, así que opté por reportarlo a la Guardia Civil para que avisaran a los responsables y lo quitaran de Internet - o lo protegieran -. A día de hoy, por suerte, no está ya online.


La pregunta es, ¿con todo este dinero no se podría haber hecho una auditoría de seguridad web antes de ponerlo online? Poner un servicio online sin pasarle un pentesting me parece descabellado hoy en día. Si alguien hubiera sacado la lista de usuarios, y hubiera realizado un ataque a la contraseña, por ejemplo con la idea de las passwords suprayectivas, podría haberse liado parda.

Autor: Chema Alonso en http://www.elladodelmal.com/

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...