- La web www.opositor.com no guarda logs de IPs.
Con estos datos queremos ver en este artículo de investigación hasta dónde podemos llegar, si se pueden
manipular los datos de la web sin ser su Administrador usando técnicas hechas públicas por los descubridores de estos fallos de seguridad.
Advertimos que no vamos a meternos a hackers y si encontramos algún fallo que pueda provocar un daño a la
web avisaremos al webmaster. Si se demuestra que se pueden manipular las fechas de las preguntas la
oposición no puede ser impugnada, dichas preguntas fueron escritas el día antes del examen de la oposición.
Miramos los mensajes del usuario que publicó las preguntas de la oposición, "BEATBEN12";
Nos damos de alta en el foro y queremos ver si se puede suplantar al usuario "BEATBEN12", con poco
esfuerzo lo realizamos y tenemos nuestro propio usuario "BEATBEN12" que suplanta al mismo usuario causante de
las "posibles irregularidades", una imagen vale mas que mil palabras;
Realizamos algunas pruebas y muchos internautas se percatan porque el tema está muy caliente.
Manipulamos la cookie del usuario creado, para cambiar valores de usuario y probar una posible "escalada" de
privilegios de
usuario.
usuarioCRMID95008www.opositor.com/15362618878336XXXXXXXX8*
Comprobamos algún pequeño fallo de SQL y de CGI.
Destacamos que cualquier usuario puede "suplantar" a otro sin mucho esfuerzo y puede escribir con su nick, únicamente
hace falta teclear un conocido fallo de seguridad en
cualquier navegador;
http://www.opositor.com/foros/alta_pregunta.php?autor=NICK-A-SUPLANTAR&subject=&--ELIMINADO
POR SEGURIDAD--
Después de varias comprobaciones vemos que un usuario de nivel bajo/medio en temas informáticos no está
suficientemente capacitado para realizar una
manipulación mayor en la web ni el foro de www.opositor.com y la mejor forma de manipular las fechas de
las preguntas es por medio de una entrada de escalada de
privilegios de usuario ya que la inyección de datos sería un poco más costosa y debería tener un acceso a la base
SQL para la modificación; esto no es imposible, en la seguridad informática no hay nada al seguro al 100%.
Falta saber si realizaron análisis "periciales" en los ordenadores por los que
pasaron los exámenes; esto es muy importante pare esclarecer este enigma de filtración de datos en Internet.
La decisión final la tiene que tomar la CAM, si hubo o no fraude en las oposiciones de Auxiliar Administrativo y anular
por irregularidades dando como pruebas válidas las preguntas sacadas a la luz por el usuario "BEATBEN12".
Todo sea que después de tomar una decisión final salgan a la luz más datos. La
Asociación de Internautas sigue investigando el caso.
Realizado por;
José María Luque miembro del equipo de seguridad de la Asociación
de Internautas.
1ª Campaña Mundial de Seguridad en la Red