El sistema en línea del Servicio de Impuestos Internos estuvo bajo mantención durante la noche redireccionando a todos los usuarios a https://www.sii.cl/pagina/actualizada/suspension/hpi_suspension.htm. El problema es que el mensaje no se desplegaba al momento de ingresar al sitio, sino que luego de iniciar la sesión o más bien, luego de enviar el formulario de inicio de sesión o de intentar ingresar mediante certificado.
Cuando ingresabamos a https://www.sii.cl se veía todo normal, la página de inicio, con el formulario para iniciar sesión, etc
Los usuarios no se daban cuenta que el sistema estaba en mantención hasta que intentaban ingresar con sus credenciales de acceso, por ejemplo intentaremos ingresar con el RUT de pruebas 12345-5
Y usaremos la contrasña "sii_inseguro" para esta prueba de concepto. Seguimos el flujo normal y presionamos el botón Ingresar, veremos el siguiente mensaje
Hasta el momento para todos los usuarios era un mensaje ya conocido, que al intentar ingresar al sistema les advertían que el sistema estaba en mantención hasta cierta hora del día siguiente, pero el detalle está en la URL, si se fijan se expone la clave que nosotros ingresamos de pruebas
El otro detalle es que la URL no está bajo SSL o HTTPS, por lo tanto podría ser interceptada por algún intruso. En los logs del sistema o del servicio http ya quedó registrada nuestra contrasña.
El problema era que el formulario de login enviaba los datos del formulario vía GET a la URL de mantención, sin embargo, la URL de mantención se mostraba a todos, indiferente si el usuario y contraseña eran válidos o no. No entiendo por qué hicieron eso ...
De todas formas, el problema fue comunicado al Jefe del Departamento de Informática quien dijo que remitiría el problema al área correspondiente. Esperemos que para la próxima mantención no se vuelva a repetir.
Comentarios (1)