Información sensible expuesta publicamente en la UCV

Al igual que en el post anterior, que hablaba sobre la vulnerabilidad en uno de los sitios de la Universidad de Chile, esta vez es el turno de la Universidad Catolica de Valparaiso (UCV), especificamente el campus virtual.

Al parecer el sitio estaba en mantenimiento ya que me encontre con varios mensajes que del tipo “Este sitio esta en mantencion“, pero esto no es excusa. Dejar un directorio que contiene informacion sensible de clientes, empleados, empresa, alumnos, etc no puede estar publicado en internet con permisos de listar directorio habilitado. Existen varias formas de proteger el contenido de un directorio desde la configuracion del fichero .htaccess hasta algo tan simple como el crear un index.php|html|htm vacios, sin dejar de lado que se puede hacer agregado reglas de acceso a la configuracion del dominio.

Bueno, encontré un directorio con información sensible de alumnos de esa Universidad, quizas la informacion es un poco antigua pero que importa eso si ni el nombre ni el rut de las personas cambia. Intenté comunicar con la webmaster del sitio pero no obtuve respuesta.

En este caso, se han expuesto en internet datos de aproximadamente 2000 alumnos.


Informacion hecha publica por la UCV

Informacion hecha publica por la UCV

En esa imagen podemos ver un poco de la informacion que aparece en el directorio vulnerable. Es un fichero separado por gatos (###) donde podemos ver que lo mas interesante son las columnas 3, 4, 5 y 6 que corresponden al rut, nombre completo de la persona, nombre de usuario y password respectivamente.

En este directorio podemos encontrar varios archivos mas, como un sistema empaquetado que si lo descargamos podremos ver su codigo fuente y posiblemente los datos de conexion a las bases de datos como usuario y contraseña, entre otras cosas.

Directorio vulnerable

Directorio vulnerable

Lo que se puede hacer con la informacion disponibles depende de la imaginacion que tenga cada uno. Yo no se como las entidades encargadas de proteger nuestra informacion caen en cosas tan basicas como estas. Por motivos de etica creo que no seria correcto que publicara la direccion de la web, aunque se que la si la googlean de la forma correcta, con los datos que les entregué, la encontrarán.

4 comentarios

  1. ¿Que tal Zerial?, soy omar uno de los posters de nO UbUntU y ya no me dejan comentar, ¿porqué?, si al parecer ya iban a poner cosas buenas en lugar de críticas.

    Pero pues aquí te sigo a ver que cosas interesantes me hayo.

    Por cierto ¿porqué Debian funciona mejor en un Pentium 4 a 3.0 que en un Core 2 Duo a 2.93? tienen la misma RAM (cantidad y del mismo tipo)

    Bueno saludos

  2. Zerial

    junio 3, 2009 a las 7:23 pm

    @Omar: Hola! Tu comentario al parecer era demasiado largo y quedo en la cola de moderación, no me había dado cuenta. Ya lo aprobé.

    Respecto al a pregunta que me haces sobre el funcionamiento de Debian.. pues nose, tendria que ver las diferencias de núcleo (si es que las hay) y que servicios estás corriendo en cada una.

    saludos

  3. Omar de nuevo XD

    junio 5, 2009 a las 4:00 am

    mmm, no hay mucho que decir de mi Debian, es que es todo igual (hardware: motherboard, tarjeta de video, ram, etc.) y es un debian recien instalado (lo unico que tiene es el openoffice), pero si funciona mejor cuando pongo el p4 que el core 2 duo, es raro no?

  4. Zerial

    El problema de exposición de información sensible que mencionas es bastante alarmante, yo encontré ese problema pero sin quererlo desde google.

    Ojala pongan mas atención la gente encargada del sitio, ya que concuerdo contigo que es inaceptable este tipo de errores, que a mi parecer son básicos.

    saludos

    z0n0

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.