Servicio de Impuestos Internos (SII) expone las contraseñas de los usuarios

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Servicio de Impuestos Internos (SII) expone las contraseñas de los usuarios" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

El sistema en línea del Servicio de Impuestos Internos estuvo bajo mantención durante la noche redireccionando a todos los usuarios a https://www.sii.cl/pagina/actualizada/suspension/hpi_suspension.htm. El problema es que el mensaje no se desplegaba al momento de ingresar al sitio, sino que luego de iniciar la sesión o más bien, luego de enviar el formulario de inicio de sesión o de intentar ingresar mediante certificado.

Cuando ingresabamos a https://www.sii.cl se veía todo normal, la página de inicio, con el formulario para iniciar sesión, etc

Los usuarios no se daban cuenta que el sistema estaba en mantención hasta que intentaban ingresar con sus credenciales de acceso, por ejemplo intentaremos ingresar con el RUT de pruebas 12345-5

Y usaremos la contrasña “sii_inseguro” para esta prueba de concepto. Seguimos el flujo normal y presionamos el botón Ingresar, veremos el siguiente mensaje

Hasta el momento para todos los usuarios era un mensaje ya conocido, que al intentar ingresar al sistema les advertían que el sistema estaba en mantención hasta cierta hora del día siguiente, pero el detalle está en la URL, si se fijan se expone la clave que nosotros ingresamos de pruebas

El otro detalle es que la URL no está bajo SSL o HTTPS, por lo tanto podría ser interceptada por algún intruso. En los logs del  sistema o del servicio http ya quedó registrada nuestra contrasña.

El problema era que el formulario de login enviaba los datos del formulario vía GET a la URL de mantención, sin embargo, la URL de mantención se mostraba a todos, indiferente si el usuario y contraseña eran válidos o no. No entiendo por qué hicieron eso …

De todas formas, el problema fue comunicado al Jefe del Departamento de Informática quien dijo que remitiría el problema al área correspondiente. Esperemos que para la próxima mantención no se vuelva a repetir.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Servicio de Impuestos Internos (SII) expone las contraseñas de los usuarios" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

1 comentario

  1. Entre todas la paginas del fisco creo que la inspeccion del trabajo es la mas deficiente uno trabaja por ejemplo al subir un archivo o guardar datos se cierra session inesperadamente, aparte de que el unico navegador compatible es internet explorer para trabajar. Por lo menos el sii tratar de actualizar su pagina. Como ultimo felicitarte por el blog aunque no tengo mucho conocimiento de programación es bueno informarse sobre las vulnerabilidades de la red.

Los comentarios están cerrados.