El diario canadiense The Globe & Mail ha revelado un fallo de seguridad en el sitio web del pasaporte canadiense que permitía a cualquier intruso hacerse con información confidencial de los solicitantes, incluyendo fecha de nacimiento, teléfonos del domicilio y la empresa, número de la seguridad social y del permiso de conducir, e incluso si son titulares de un arma.
No podía ser más sencillo: el sitio permitía el acceso a los datos sin más que modificar convenientemente las URLs mostradas por el navegador; un clásico fallo de programación de aplicaciones tan antiguo como la propia Web y descubierto en este caso por uno de los solicitantes, que al ver esos datos en su barra de direcciones sospechó -con buena lógica- que con sólo sustituirlos podría acceder también a datos ajenos...
Si a esto se añade la reciente revelación de los datos de 25'6 millones de norteamericanos y de 25 millones de británicos, sólo cabe preguntarse el por qué de tanto empeño en recopilar información privada que después no se sabe proteger.
- Passport applicant finds massive privacy breach [The Globe and Mail].
- Privacy breach nuked in Canadian passport site [The Register].
una cagada completa
anónimo5 Diciembre 2007 - 4:10pm
imagínense que ni siquiera lo comprendió un informático, sino que una persona común y corriente.
Valgame Dios quien hizo ese sitio !!
Menos mal no vivo en canada :D
Corriendo y deprisa
mortadelo5 Diciembre 2007 - 9:34am
El problema es que muchas administraciones están más preocupadas por "estar en la web" que en el como se hace.
Las administraciones públicas, y muchas privadas, son grandes conglomerados administrativos con procedimientos rigidos. Ahora se quiere transformar esta complejidad en una página web donde el usuario en 5 minutos pueda hacer lo que al funcionario le lleva un día de papeleo, y no solo eso, sino que hay que hacerlo para ayer, no vayan a decir que "no nos subimos al carro de las nuevas tegnologías".
Es la crónica de un desastre anunciado; lo raro no es que pierdan nuestros datos, lo extraño es que no hayan formateado la unidad.
Aunque pensandolo bien, quizás si lo hayan hecho... Según los últimos datos que me envió Hacienda para el impuesto del año pasado, yo no tenía Cuentas Bancarias....(esto es real).