Servicios web de la república exponen información confidencial. (2)

Una breve reseña sobre la condición y los avances en los problemas de seguridad en los servicios y páginas web del gobierno:

On Sep 13, 2016, at 11:26, Chris <chris.russo99@gmail.com> wrote:

Hola Daniel,Mil gracias por responder, parece que al final encontré a la persona! Brevemente sobre mi: soy un hacker / profesional en seguridad informática y programador, trabajé anteriormente para el gobierno de india donde fui a presentar ideas y realizar cursos más de 7 veces y corporaciones en Arabia saudita donde viví alrededor de un año. Lo que te comentaba por Linkedin, hay muchas, muchas páginas /servicios web nacionales que exponen o podrían exponer información pública o comprometernos de algún modo a los usuarios.

Preparé el documento que te envié por Linkedin como referencia, me gustaría ayudar a corregir estas fallas. ¿Qué día te parecería bien reunirnos?

Saludos cordiales;
Chris

 


El 20/09/2016 a las 08:54 a.m., Daniel Abadie escribió:
Christian
Perdón la demora,
El informe que me pasaste son todos temas de ciudad de buenos aires que no manejamos desde Nacion. Le reenvié el informe al equipo de ciudad.
 Te copio con Diego Gonzalez, de la Dirección de Ciberseguridad, juntate con el.
Saludos
D.

Daniel Abadie

Subsecretario de Gobierno Digital

Ministerio de Modernización
Presidencia de la Nación Argentina

On Sep 20, 2016, at 20:29, Chris <chris.russo99@gmail.com> wrote:

Estimados Daniel y Diego,

El informe original enviado, usa como ejemplo solo algunas fallas de seguridad en la web del gobierno de la ciudad de Buenos Aires. Ya que decidí usarlas porque el documento original fue enviado a Maria Eugenia Vidal, que fue la primera persona con la cual logre ponerme en contacto por medio de un tercero.

No obstante, quizás mi contacto no fuera lo suficientemente viable como para obtener una respuesta válida.


Volviendo al punto anterior, las fallas de seguridad se encuentran presentes en casi todas y cada una de los servicios web y páginas oficiales de la república argentina y no solo la infraestructura del gobierno de la ciudad de Buenos Aires.

Les doy un ejemplo más:

Para que puedan ver la falla de seguridad en acción, cree la siguiente prueba de concepto en mi blog personal:

http://fsockopen.com/sec_pocs/anses_csrf_and_disclosure/

Puedo continuar mostrándoles fallas de seguridad en casi todas las páginas y servicios web de la república. No solo a nivel del gobierno.


Hace aproximadamente 2 días me comuniqué con el señor Andrés Horacio Ibarra, para informar las mismas fallas, quien me respondió lo siguiente:


Christian C. Russo a Andrés Horacio Ibarra: Hola Andrés, Mi nombre es Christian. Me encantaría hacer una reunión en persona contigo, para presentarte un plan que preparé para remediar muchísimas fallas de seguridad en servicios nacionales. Necesito que alguien me escuche, es impresentable el estado de la seguridad informática en Argentina, y vengo avisando desde hace más de 3 años ya… no doy con la persona. Por favor, una reunión. Saludos cordiales; Chris

(Conversación por medio de Linkedin)


Andrés Horacio Ibarra a Christian C. Russo: Christian, gracias por escribir y por haberte puesto a disposición. Te dejo un número de contacto de la Subsecretaría de Tecnología y Ciberseguridad, a cargo de José Hirschon, para que coordinen una reunión. 4343-7458 4343-9001 int. 293 Saludos.

(Conversación por medio de Linkedin)


Me comuniqué lo antes posible con el señor José Hirschon, quien no respondió el llamado y decidió dejar que su secretaria se ocupara del asunto. Le di mi número de teléfono para que me llame, aún no he tenido respuesta.


Lo único que estoy pidiendo es que me den la chance de corregir estas fallas de seguridad. Desconozco de quien es la responsabilidad de las mismas, pero en lo personal, no me importa, más allá de que sean desarrollos, hasta donde entiendo, realizados con fondos provenientes de impuestos nacionales. Creo que no es un tema menor, ¿sería posible organizar una reunión para articular un plan de acción a fin de resolver la situación?

Saludos cordiales;
Christian C. Russo

 

Comments

comments

chris

Programo, escribo, leo, cuido animales, colecciono flora, fauna, perfumes y oleos, reviso e informo fallas de seguridad para organizaciones y empresas.