Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Información sensible expuesta publicamente en la UCV" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Al igual que en el post anterior, que hablaba sobre la vulnerabilidad en uno de los sitios de la Universidad de Chile, esta vez es el turno de la Universidad Catolica de Valparaiso (UCV), especificamente el campus virtual.
Al parecer el sitio estaba en mantenimiento ya que me encontre con varios mensajes que del tipo “Este sitio esta en mantencion“, pero esto no es excusa. Dejar un directorio que contiene informacion sensible de clientes, empleados, empresa, alumnos, etc no puede estar publicado en internet con permisos de listar directorio habilitado. Existen varias formas de proteger el contenido de un directorio desde la configuracion del fichero .htaccess hasta algo tan simple como el crear un index.php|html|htm vacios, sin dejar de lado que se puede hacer agregado reglas de acceso a la configuracion del dominio.
Bueno, encontré un directorio con información sensible de alumnos de esa Universidad, quizas la informacion es un poco antigua pero que importa eso si ni el nombre ni el rut de las personas cambia. Intenté comunicar con la webmaster del sitio pero no obtuve respuesta.
En este caso, se han expuesto en internet datos de aproximadamente 2000 alumnos.
Informacion hecha publica por la UCV
En esa imagen podemos ver un poco de la informacion que aparece en el directorio vulnerable. Es un fichero separado por gatos (###) donde podemos ver que lo mas interesante son las columnas 3, 4, 5 y 6 que corresponden al rut, nombre completo de la persona, nombre de usuario y password respectivamente.
En este directorio podemos encontrar varios archivos mas, como un sistema empaquetado que si lo descargamos podremos ver su codigo fuente y posiblemente los datos de conexion a las bases de datos como usuario y contraseña, entre otras cosas.
Directorio vulnerable
Lo que se puede hacer con la informacion disponibles depende de la imaginacion que tenga cada uno. Yo no se como las entidades encargadas de proteger nuestra informacion caen en cosas tan basicas como estas. Por motivos de etica creo que no seria correcto que publicara la direccion de la web, aunque se que la si la googlean de la forma correcta, con los datos que les entregué, la encontrarán.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Información sensible expuesta publicamente en la UCV" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
junio 3, 2009 a las 4:56 pm
¿Que tal Zerial?, soy omar uno de los posters de nO UbUntU y ya no me dejan comentar, ¿porqué?, si al parecer ya iban a poner cosas buenas en lugar de críticas.
Pero pues aquí te sigo a ver que cosas interesantes me hayo.
Por cierto ¿porqué Debian funciona mejor en un Pentium 4 a 3.0 que en un Core 2 Duo a 2.93? tienen la misma RAM (cantidad y del mismo tipo)
Bueno saludos
junio 3, 2009 a las 7:23 pm
@Omar: Hola! Tu comentario al parecer era demasiado largo y quedo en la cola de moderación, no me había dado cuenta. Ya lo aprobé.
Respecto al a pregunta que me haces sobre el funcionamiento de Debian.. pues nose, tendria que ver las diferencias de núcleo (si es que las hay) y que servicios estás corriendo en cada una.
saludos
junio 5, 2009 a las 4:00 am
mmm, no hay mucho que decir de mi Debian, es que es todo igual (hardware: motherboard, tarjeta de video, ram, etc.) y es un debian recien instalado (lo unico que tiene es el openoffice), pero si funciona mejor cuando pongo el p4 que el core 2 duo, es raro no?
octubre 18, 2009 a las 4:57 pm
Zerial
El problema de exposición de información sensible que mencionas es bastante alarmante, yo encontré ese problema pero sin quererlo desde google.
Ojala pongan mas atención la gente encargada del sitio, ya que concuerdo contigo que es inaceptable este tipo de errores, que a mi parecer son básicos.
saludos
z0n0