Datos Fiscales comprometidos

¿Alguno de ustedes ya subió sus datos biométricos en la AFIP? ¿Firma, DNI escaneado, huellas dactilares y una foto? pues bien, hasta hace un día toda esa información la podía acceder cualquiera y gracias a un amigo de la casa, Fernando (a.k.a. Cypher) lo arreglaron rápido.

No escribo mucho sobre hacking aquí pero esto nos involucra a todos, resulta que la AFIP desde mayo de 2010 hizo obligatorio estos datos en el reempadronamiento anual del monotributo, no hay una razón coherente para tener hasta mi huella dactilar, pero que esos datos los pueda acceder cualquiera es un regalo para los estafadores.

Es simple, podían obtener una copia digitalizada de tu firma, hasta la copia del DNI, armar contratos, contratar servicios, lo que fuere.

El error era bastante simple, entró a ver sus propios datos y se fijó en la url que cargaba la foto, básicamente era así:

https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=xxxxxxxxxx&tipo=x

Es decir, pasaba como parámetros el CUIT y el tipo de documento a mostrar (foto, firma, dni, etc.), ahora bien, simplemente cambiando por el CUIT de cualquier otro se mostraban los datos. Les recuerdo, esto funcionó así hasta ayer!

Fernando obviamente vio comprometidos sus datos, de hecho, yo mismo probé con los suyos y pude ingresar a ver sus datos sin siquiera estar logueado con mi clave fiscal ¡cualquiera desde afuera podía!

No había encripción (por más https, eso sólo sirve para crear un canal seguro entre cliente y servidor), no había control de sesiones (básico al programar cualquier web con login de usuario) y el recupero de datos no consultaba si el solicitante era el indicado ¡todo mal hecho!

No soy un gran programador, pero al hacer el PostRev obviamente lo primero que te tratan de hacer es hackear y acceder con permisos de administrador, es básico, que los programadores de la AFIP no lo tengan en cuenta es grave.

Pero hubo una buena noticia aquí, apenas envió el mail indicándole el problema, esto fue el domingo, el lunes mismo lo habían modificado!

Ahora utilizando cifrado PKCS lo que es un alivio porque ahora los parámetros se pasan de otra forma, igualmente, sigue sin haber control de sesión ni usuario coherente.

Palabras incumplidas parcialmente de Etchegaray: "Esto estará protegido por el secreto fiscal; es la tendencia de otros países de la región y desarrollados. Además, evitará que otra persona diferente del titular del CUIT pueda utilizar esa clave", señaló ante una pregunta de LA NACION.

No estuvo protegido por ningún secreto, hasta ayer fueron datos públicos

El bug fue cubierto parcialmente, esto significa que apenas hay una pequeña contingencia, pero cualquiera que tuvo que utilizar los sistemas de la AFIP vía web sabe que hay problemas por todos lados. Nada está unificado, todo parece estar hecho por gente que no sabe nada de internet y poco de programación y nada está conectado entre sí.

Traten de seguir una lógica y no lo van a encontrar en el site de la AFIP que, para colmo, la mitad de las cosas ni se explican para que son o como usarlas. Traten siquiera de cambiar algún dato que tengan dado de alta y no podrán, dar de alta es fácil, modificar... ah... eso es para otra administración parece :P

Por lo pronto ahora al menos se que cuando actualice mis datos habrá un filtro más para que otros lo usen, pero temo más huecos por venir, ¡y eso que quiero pagar mis impuestos!

Para más detalles les recomiendo leer los dos artículos de Fernando: Filtración de información privada en AFIP y Arreglado el problema de seguridad en AFIP

Otros posts que podrían llegar a gustarte...

Comentarios

  • iGaspa    

    Q linda jodita! Una seguridad barbara!!!!

    • Responder
    • Citar
    • Comentado:
  • mashee    

    epa! que descuido, no? no es el primero en la argentina me parece...

    • Responder
    • Citar
    • Comentado:
  • BachiTux    

    Esta increiblemente interesante publicar estas cosas. Nos demuestra los bajos conocimientos y la falta de las lógicas más básicas de quienes nos administran.

    Un abrazo, Fabio (a.k.a. Julian Assange)!

    • Responder
    • Citar
    • Comentado:
  • ignacio    

    que país bananero que vivimos.....

    • Responder
    • Citar
    • Comentado:
  • impresentable, CERO SEGURIDAD.... y lo peor los perjudicados de que nos dupliquen los datos somos todos nosotros! impresentable algunos sistemas que son criticos, en cuanto a seguridad por la confidenciabilidad de los datos, estaria bueno que en vez de gastar tanta plata en el futbol, el gobierno le pague bien y contrate a gente que SEPA en SERIO, que son los que hacen que nuestros datos esten seguros...

    • Responder
    • Citar
    • Comentado:
    • Revisado: 04/01/2011 - 12:57:27
  • DrM!    

    solo es una sensación de inseguridad electrónica, no pasa nada... :P

    • Responder
    • Citar
    • Comentado:
  • tin XD    

    no es el primero ni sera el ultimo...

    ignacio dijo:

    que país bananero que vivimos.....


    que ganas de generalizar al "cuete"...
    me pregunto que tendrá que ver un tipo que no sabe programar(bien) con un pais bananero

    En fin, sds

    • Responder
    • Citar
    • Comentado:
  • veritis    


    tin XD dijo:

    no es el primero ni sera el ultimo...

    ignacio dijo:
    que país bananero que vivimos.....


    que ganas de generalizar al cuete...
    me pregunto que tendrá que ver un tipo que no sabe programar(bien) con un pais bananero

    En fin, sds


    Aparentar que implementamos mecanismos y tecnologías superiores de los que realmente podemos poner en práctica tiene que ver con ser país bananero.
    La fachada de lujo y modernidad como cartón pintado detrás del cual hay gente que no está preparada o mucho peor, que no le interesa trabajar un poquito mejor de lo que el jefe le exija, es ser bananero.

    Y lo digo por el funcionario que contrató o que debería controlar el trabajo del empleado que cometió el error y no por él, ya que un error lo puede cometer cualquiera, por eso existen las estructuras jerárquicas entre otras cosas.

    • Responder
    • Citar
    • Comentado:
  • BachiTux    


    veritis dijo:

    tin XD dijo:
    no es el primero ni sera el ultimo...

    ignacio dijo:
    que país bananero que vivimos.....


    que ganas de generalizar al cuete...
    me pregunto que tendrá que ver un tipo que no sabe programar(bien) con un pais bananero

    En fin, sds


    Aparentar que implementamos mecanismos y tecnologías superiores de los que realmente podemos poner en práctica tiene que ver con ser país bananero.
    La fachada de lujo y modernidad como cartón pintado detrás del cual hay gente que no está preparada o mucho peor, que no le interesa trabajar un poquito mejor de lo que el jefe le exija, es ser bananero.

    Y lo digo por el funcionario que contrató o que debería controlar el trabajo del empleado que cometió el error y no por él, ya que un error lo puede cometer cualquiera, por eso existen las estructuras jerárquicas entre otras cosas.


    AMEN!!!

    • Responder
    • Citar
    • Comentado:
  • Kenzoar    

    Pobre. El programador debe ser el sobrino de algun capo de la AFIP. A veces es dificil concentrarse en la programacion mientras jugas al counter.
    Sepan entender

    • Responder
    • Citar
    • Comentado:
  • tin XD    

    <strong>Veritis</strong>, aunque tu definicion parece ser bastante clarificadora, sigo sin coincidir con lo de bananero.

    Siempre nos quejamos de todo. Si hay algo que no tenemos implementado nos quejamos por no tenerlo. Si implementamos algo innovador y tiene errores tambien nos quejamos. y asi con mil cosas...a todo lo encontramos un pero.

    Que te parece que es mejor? no tener nada o tener algo con errores para poder mejorarlo a futuro?..

    Gente poco calificada se encuentra en todos lados, pero me parece mucho mas valido una persona que marque el error para mejorar contra una persona que generaliza o tilda de bananero y sigue con la cola apoyada en la silla apuntando con el dedo.

    • Responder
    • Citar
    • Comentado:
  • Danbat    

    tin XD dijo:

    <strong>Veritis</strong>, aunque tu definicion parece ser bastante clarificadora, sigo sin coincidir con lo de bananero.

    Siempre nos quejamos de todo. Si hay algo que no tenemos implementado nos quejamos por no tenerlo. Si implementamos algo innovador y tiene errores tambien nos quejamos. y asi con mil cosas...a todo lo encontramos un pero.

    Que te parece que es mejor? no tener nada o tener algo con errores para poder mejorarlo a futuro?..

    Gente poco calificada se encuentra en todos lados, pero me parece mucho mas valido una persona que marque el error para mejorar contra una persona que generaliza o tilda de bananero y sigue con la cola apoyada en la silla apuntando con el dedo.

    Tin XD, es algo básico como programador y como usuario. Una cosa es que un sistema tenga bugs de seguridad, otra es que el sistema <strong>no tenga seguridad</strong> y sea, además, de información <em>sensibilísima</em>. La AFIP <strong>debe ser</strong> un portento de seguridad, una fortaleza más sólida que cualquier otro sitio porque ahí descansan los datos de todos los que trabajamos en el país. El error no es un agujero que se detectó tras arduas sesiones de hackeo, es un <strong>error boludo</strong> que pone en serio riesgo la confidencialidad y confianza de la AFIP. En este tipo de situaciones, es mejor no tener implementado un sistema con fallas tan estúpidas porque cualquiera nos puede amargar la vida si nos roban nuestros datos y empieza a delinquir por ahí.

    • Responder
    • Citar
    • Comentado:
  • tin XD    

    <strong>Danbat</strong>, entiendo y comparto en parte lo que decis. Incluso estoy de acuerdo con el post, no estoy queriendo defender al que se mandó el moco eh

    Solo que no me va esa logica de llamar bananero por cualquier cosa...

    Volviendo al post, si bien es un error estupido no crean que muchas personas se den cuenta que cambiando eso pueden obtener los datos.

    Incluso es un tipo de error, que si mal no recuerdo, han sufrido de manera similar gmail y hotmail en su epoca.

    quiero creer que todo sirve para aprender ... ¬_¬

    • Responder
    • Citar
    • Comentado:
  • Nachox    

    Había que subir todos esos datos??
    Nunca me enteré... y hasta que no me los vengan a pedir me parece que voy a permanecer desinformado :P

    • Responder
    • Citar
    • Comentado:
  • veritis    

    Tin-xd, creo en el prueba-error desde ya, dado que es el método de selección natural que rige en cualquier evolución y prefiero hacer y equivocarme que no hacer nada. Porrazo, porrazo y hasta que caminamos, te doy la mano en eso.

    Pero todo tiene un límite, todo sistema serio contempla un margen de error y en este caso se le fue la mano. Ahí es donde veo no ya el error sino una negligencia inaceptable de parte de quienes deberían responsabilizarse del proyecto.

    Que esto no sirva para bochar la modernización de la AFIP y de todos los organismos oficiales, que buena falta les hace, sino para encarar llevarlo a la realidad más allá de lo mínimo indispensable requerido para mantener la asignación de presupuesto.
    Un saludo.
    Danbat dijo:

    tin XD dijo:
    <strong>Veritis</strong>, aunque tu definicion parece ser bastante clarificadora, sigo sin coincidir con lo de bananero.

    Siempre nos quejamos de todo. Si hay algo que no tenemos implementado nos quejamos por no tenerlo. Si implementamos algo innovador y tiene errores tambien nos quejamos. y asi con mil cosas...a todo lo encontramos un pero.

    Que te parece que es mejor? no tener nada o tener algo con errores para poder mejorarlo a futuro?..

    Gente poco calificada se encuentra en todos lados, pero me parece mucho mas valido una persona que marque el error para mejorar contra una persona que generaliza o tilda de bananero y sigue con la cola apoyada en la silla apuntando con el dedo.

    Tin XD, es algo básico como programador y como usuario. Una cosa es que un sistema tenga bugs de seguridad, otra es que el sistema <strong>no tenga seguridad</strong> y sea, además, de información <em>sensibilísima</em>. La AFIP <strong>debe ser</strong> un portento de seguridad, una fortaleza más sólida que cualquier otro sitio porque ahí descansan los datos de todos los que trabajamos en el país. El error no es un agujero que se detectó tras arduas sesiones de hackeo, es un <strong>error boludo</strong> que pone en serio riesgo la confidencialidad y confianza de la AFIP. En este tipo de situaciones, es mejor no tener implementado un sistema con fallas tan estúpidas porque cualquiera nos puede amargar la vida si nos roban nuestros datos y empieza a delinquir por ahí.

    • Responder
    • Citar
    • Comentado:
  • Fabio    


    tin XD dijo:

    <strong>Danbat</strong>, entiendo y comparto en parte lo que decis. Incluso estoy de acuerdo con el post, no estoy queriendo defender al que se mandó el moco eh

    Solo que no me va esa logica de llamar bananero por cualquier cosa...

    Volviendo al post, si bien es un error estupido no crean que muchas personas se den cuenta que cambiando eso pueden obtener los datos.

    Incluso es un tipo de error, que si mal no recuerdo, han sufrido de manera similar gmail y hotmail en su epoca.

    quiero creer que todo sirve para aprender ... ¬_¬



    el error no es boludo, es nefasto, cualquier falla de diseño semejante te demuestra que el core del software está mal diseñado o carece de diseño alguno (cosa más probable en los softwares del estado)

    no es un error común ni comparable con otros sistemas porque aquí ni siquiera había que escalar privilegios ni meterse con las cookies de nadie, era ingresar una url con el cuit de cualquiera

    el problema es el error de diseño de la aplicación, nadie jamás pensó en lo más sencillo, ¿cuanto más habrán dejado pasar? es cuestión de intentar hackearlo y listo.


    igual, como dice veritis, que esto no sirva para frenar la modernización si no para hacerla mucho mejor!

    • Responder
    • Citar
    • Comentado:
  • eso no es nada Fabio lo peor tambien es que usan claves genericas para su mail...

    en una clase de seguridad informatica no me fue muy dificil acceder a una cuenta de correo a travez de su servidor de correo exchange.. esto fue hace un par de años.. con este articulo recorde eso.. y acabo de probarlo y sigue igual... a donde les aviso de esto?

    • Responder
    • Citar
    • Comentado:
  • Hugo    


    tin XD dijo:


    Volviendo al post, si bien es un error estupido no crean que muchas personas se den cuenta que cambiando eso pueden obtener los datos.


    ¿Y cuántos te pensas que hacen falta para hacer un desastre?

    • Responder
    • Citar
    • Comentado:
  • Dario    


    Lo que no me deja de sorprenderme es que, al margen del terrible error del que lo haya programado... el error no haya sido detectado en ninguna instancia de test posterior. En cualquier proyecto de mediana importancia hay varias instancias de pruebas y verificaciones que deben ser realizadas tanto por los mismos desarrolladores como por gente de QA... estamos hablando de mínimo media docena de personas... para detectar una vulnerabilidad detectable a simple vista... a nadie se le ocurrió mirar barra de url del navegador?

    Increible.

    • Responder
    • Citar
    • Comentado:
  • Fabio    


    Dario dijo:


    Lo que no me deja de sorprenderme es que, al margen del terrible error del que lo haya programado... el error no haya sido detectado en ninguna instancia de test posterior. En cualquier proyecto de mediana importancia hay varias instancias de pruebas y verificaciones que deben ser realizadas tanto por los mismos desarrolladores como por gente de QA... estamos hablando de mínimo media docena de personas... para detectar una vulnerabilidad detectable a simple vista... a nadie se le ocurrió mirar barra de url del navegador?

    Increible.



    estás un poquito equivocado ¿QA? ¿testing?

    trabajé para el estado durante 6-7 meses en una ocasión, como contratado, si, ese estadío entre contratación en negro y esclavitud :D y no teníamos nadie de QA ni de Testing, quien hacía de "jefe" nuestro era más chico e inexperto que todos los programadores y se mandaba a instalar directo del CVS sin preguntar siquiera si la versión estaba terminada.

    y te parece que no puede pasar en la AFIP? es muy raro encontrar un esquema de trabajo tradicional en un ente gubernamental porque los puestos críticos son políticos, no idóneos

    • Responder
    • Citar
    • Comentado:
  • Mierda! Y yo que justo en estos días me voy a estar inscribiendo :s
    Son unos chantas, tal vez por ahorrar unos mangos metieron a cualquier gil a desarrollar.

    • Responder
    • Citar
    • Comentado:
  • tin XD    

    supongo que a los creadores de dicho error podran encontrarlos aca:

    http://wswhomo.afip.gov.ar/fiscaldocs/

    hay varios txt con info (?)


    • Responder
    • Citar
    • Comentado:
  • Cipres    

    TERRIBLE !!!!!

    Menos mal que trabajo en NEGRO

    • Responder
    • Citar
    • Comentado:
  • Diegol    

    Hace un par de años que vengo desarrollando sistemas que interactúan con servicios de la AFIP (Web Services en su mayoría) y doy fe que este es uno más de los tantísimos errores que tienen sus implementaciones.
    Ponen en Producción desarrollos que no tuvieron un mínimo testing, no capturan errores de Base de Datos y la Mesa de Ayuda es genial!; después de derivarte por 25 personas de diferentes sectores y cargos no sólo no responden consultas simples (muchas veces, otras no tanto) sino que me ha pasado que me sugieran consultar con un tercero!! por una normativa definida por ellos!!

    • Responder
    • Citar
    • Comentado:
  • Rolando    

    Muy interesante pero ¿alguien denunció el tema ante la DNPDP?

    http://www.jus.gov.ar/datos-personales/ejerza-sus-derechos.aspx

    Cita:
    "¿Qué puede hacer en caso de violación de sus derechos?

    En caso que una base de datos no cumpla con los requisitos que establece la ley para la protección de sus datos personales, el titular podrá ejercer las siguientes acciones:

    Denunciar el hecho ante la DNPDP
    En caso de comprobarse el hecho denunciado, podrá aplicar sanciones administrativas al registro, archivo, base o banco de datos.(Ley Nº 25.326 art. 31)

    Es importante destacar que las denuncias que se hagan ante la DNPDP, son al exclusivo efecto de revelar deficiencias o incumplimientos a las normas aplicables en el tratamiento de los datos personales que hagan los archivos, registros bancos o bases de datos.

    Ello ayudará a que la DNPDP, como organismo de control de los registros, archivos, bases o bancos de datos, verifique el cumplimiento de los derechos consagrados en la ley."

    Fuente: http://www.jus.gov.ar/datos-personales.aspx/

    Digo, si no empezamos por lo básico (denunciar) y se publican y difunden los resultados (los que fueran), el resto es boludeo y no ayuda a nada.

    O alguien es tan ingenuo de pensar que algún funcionario va a leer el blog de Fabio o Fernando o Garompa y hacer algo por motus propio???

    Por mi parte ya le envié al correo del Director de DNPDP el asunto, sin respuesta aun.
    Saludos.

    • Responder
    • Citar
    • Comentado:
  • Klaus    

    Que raro el Estado Parásito mandándose cagadas...

    • Responder
    • Citar
    • Comentado:
  • cypher    


    Rolando dijo:

    Muy interesante pero ¿alguien denunció el tema ante la DNPDP?

    http://www.jus.gov.ar/datos-personales/ejerza-sus-derechos.aspx

    Cita:
    ¿Qué puede hacer en caso de violación de sus derechos?

    En caso que una base de datos no cumpla con los requisitos que establece la ley para la protección de sus datos personales, el titular podrá ejercer las siguientes acciones:

    Denunciar el hecho ante la DNPDP
    En caso de comprobarse el hecho denunciado, podrá aplicar sanciones administrativas al registro, archivo, base o banco de datos.(Ley Nº 25.326 art. 31)

    Es importante destacar que las denuncias que se hagan ante la DNPDP, son al exclusivo efecto de revelar deficiencias o incumplimientos a las normas aplicables en el tratamiento de los datos personales que hagan los archivos, registros bancos o bases de datos.

    Ello ayudará a que la DNPDP, como organismo de control de los registros, archivos, bases o bancos de datos, verifique el cumplimiento de los derechos consagrados en la ley.

    Fuente: http://www.jus.gov.ar/datos-personales.aspx/

    Digo, si no empezamos por lo básico (denunciar) y se publican y difunden los resultados (los que fueran), el resto es boludeo y no ayuda a nada.

    O alguien es tan ingenuo de pensar que algún funcionario va a leer el blog de Fabio o Fernando o Garompa y hacer algo por motus propio???

    Por mi parte ya le envié al correo del Director de DNPDP el asunto, sin respuesta aun.
    Saludos.


    Rolando, buen punto el de la DNPDP, pero te aclaro lo siguiente:
    Sólo denuncié el problema a la AFIP y al mismo tiempo en mi blog y otros sitios mas grandes como Taringa, y el efecto fue prácticamente inmediato dentro de la AFIP. Queda a criterio de cada uno si fué o no una estrategia óptima, personalmente creo que si, ya que nunca vi una respuesta tan rápída a un leak tan grosero (mis propios datos estaban desprotegidos, te imaginarás que lo he pensado dos veces). Tengamos en cuenta también que la falla llevaba sirviendo a los traficantes de datos varios meses (Estoy convencido que alguien ya explotaba la vulnerabilidad).
    Al día de la fecha, desconozco si tendrá sentido la denuncia ante la DNPDP, ya que no es comprobable actualmente el fallo, salvo por 2 o 3 testigos considerables a los que me encargué de mostrarles la falla en cuestión (siempre con mis propios datos).

    • Responder
    • Citar
    • Comentado:
  • Manuel    


    veritis dijo:

    tin XD dijo:
    no es el primero ni sera el ultimo...

    ignacio dijo:
    que país bananero que vivimos.....


    que ganas de generalizar al cuete...
    me pregunto que tendrá que ver un tipo que no sabe programar(bien) con un pais bananero

    En fin, sds


    Aparentar que implementamos mecanismos y tecnologías superiores de los que realmente podemos poner en práctica tiene que ver con ser país bananero.
    La fachada de lujo y modernidad como cartón pintado detrás del cual hay gente que no está preparada o mucho peor, que no le interesa trabajar un poquito mejor de lo que el jefe le exija, es ser bananero.

    Y lo digo por el funcionario que contrató o que debería controlar el trabajo del empleado que cometió el error y no por él, ya que un error lo puede cometer cualquiera, por eso existen las estructuras jerárquicas entre otras cosas.


    Si puede ser que hable de cosas que estan mal hechas, pero si sos argentino, ante la generalizacion vos tambien te estas considerando bananero... y hay mucha gente, la mayoria de la gente que vive en este pais desea hacer las cosas bien... se cometen muchas injusticias generalizando... creo que no me vas a entender, pero te doy la oportunidad porque sino estaria generalizando y prejuzgando...
    ojala tengas un hermoso dia...

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador