Artículos

Vulnerabilidad en software de gobierno chileno expone datos privados – FayerWarer, Chile

Los datos estarían vulnerables desde el momento mismo de la instalación del programa.

Con el fin de informar a las autoridades chilenas sobre una falla de seguridad en sus sistemas, uno de los administradores del sitio web Zerial.org, de nombre Fernando, publicó hoy un post en su blog que muestra al público general un error importante en un software del Gobierno de Chile, el cual da acceso a datos de instituciones como el Servicio Nacional de la Mujer, Subsecretaría de Telecomunicaciones, Ministerio del Trabajo, Fondo Nacional de Salud (FONASA), entre varios otros.

La vulnerabilidad tendría lugar en un programa de código abierto, distribuido de manera gratuita por el Ministerio Secretaría General de Gobierno (SEGPRES), el cual fue instalado en el marco de la Ley 20.285, más conocida como la “Ley de Transparencia”, aprobadaen 2008.

Según publica Fernando en su blog, la vulnerabilidad permite al atacante “tomar control del servidor subiendo shells remotas gracias a un upload bypass, acceder a información confidencial como usuarios y pass de la base de datos, detalles de las solicitudes realizadas y en algunos accesos accesos a otras bases de datos que existan en el mismo servidor”. Esto sería posible desde el momento mismo de la instalación del software en los ministerios y entidades gubernamentales que ocupen este programa, por lo que los datos se encontrarían vulnerables desde hace varios años.

También apunta que, si bien recibió respuesta con cierto grado de interés por parte de los encargados, éstos lo habrían hecho sólo por cumplir.

“…Un amigo me comentó que en Junio del 2014 había enviado un reporte de vulnerabilidades del mismo sistema SGS. Muchas de esas vulnerabilidades coincidían con las que yo envié… La respuesta que le dieron a el fue: ‘Muchas gracias por el reporte, estoy informando al equipo responsable para que realicen las labores correctivas’. La misma respuesta que me dieron a mi”.

El Gobierno de Chile aún no se ha pronunciado públicamente al respecto.

[wysija_form id=”2″]