Quizás hayais oído hablar de LexNET, o quizas vuestros filtros os hayan hecho ignorarlo, como suele pasar con la mayoría de las cosas de derecho. El “legalés” (término jocos que utilizamos para definir la jerga legal) no es un idioma que controle y soy la primera que tiende a desconectar al escucharlo, pero este tema es curioso a la vez que terrible.
Para quien no lo sepa, los sistemas digitales de los juzgados son cada uno de su padre y de su madre, lo que probablemente no resulte sorprendente, ya que tenemos una situación similar con los chips de las mascotas a nivel autonómico. LexNET fue un programa que se pretendía implantar a nivel nacional, lo que suena bonito. Lo que no suena tan bien es su extrema inseguridad, lo que me llevó a buscar información mas especializada: resulta que los datos de usuario se pasan en llamadas SOAP no securizadas, lo que quiere decir que los datos se ven de forma plana en la URL (ejemplo el ID de mi usuario), y con sustituir este por cualquier otro, un usuario se puede colar en la pantalla de otro.
¿Qué significa esto? Pues que cualquiera con credenciales de acceso al sistema puede acceder a cualquier cosa del mismo. Imaginaos que las partes enfrentadas puedan acceder a la información de los que sientan enfrente, o mas curioso aún: que alguien que trabaje en el juzgado y tenga alguna denuncia pueda acceder a los datos privados de quien lo ha denunciado.
¿Podría haberse prevenido? Pues de entrada se podrían securizar las llamadas SOAP para comparar el usuario que lo pide con el identificador que está pasando como parámetro, o usar quizás sistemas REST, de manera que los parámetros no se vean en la URL y no sean tan fáciles de hackear. Lo que denota esto es extrema dejadez y lo que es peor… ¿Esta gente no tiene un personal de testing serio? ¿Cuántas leyes de protección de datos se salta esto? Una vez mas me sorprendo del país en el que vivo, y parece que esto solo puede ser la punta del iceberg con lo que han hecho…
Comments
No comments yet. Be the first to react!