Acepta es una entidad certificadora que otorga certificados de confianza y servicio de custodia electrónica de documentos, hace un tiempo se publicó que era posible acceder a documentos electronicos almacenados en “Custodium” (un producto o empresa de Acepta), dejando abierto al publico los datos de clientes de Entel con detalles de facturación, dirección personal, nombre, etc. Tambien se publicaron algunos Cross Site Scripting que afectaban al sitio. Ambas vulnerabilidades fueron corregidas.
Hace un par de dias, estuve investigando un poco mas y analizando el proceso de obtención de certificado digital.
Luego de buscar el certificado llegamos a una pantalla donde aparece los datos de la persona dueña del certificado y un boton “descargar”. Al momento de presionar el boton descargar el sistema envia mediante
POST el certificado cifrado en base64 y el nombre del archivo en plano. Ambos datos facilmente manipulables.
Comentarios recientes