Comisión de Seguridad

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

¿En pruebas?

La Agencia Tributaria se olvidó borrar los servidores de prueba.

Desde hace unos años la Agencia Tributaria pone a disposición de los ciudadanos varias opciones para consultar o solicitar el borrador de la declaración de hacienda, con insertar nuestro código y datos personales en pocos segundos tenemos toda la información para realizar nuestra declaración de la renta, como es normal los programadores tienen que realizar varias pruebas para comprobar que este servicio funcione correctamente y además nos asegure privacidad con el tratamiento de nuestros datos.

Pero un fallo tan simple puede permitir ver información detallada de algún path y servidor que no deberían ser mostrados a los usuarios.

20-5-2008; El problema esta solucionado.

19-05-2008 - El otro día muchos ciudadanos recibimos un sms donde nos informan que ya esta disponible nuestro borrador de la declaración de Renta 2007, para consultarlo nos facilita una referencia, personalmente este servicio me parece estupendo ya que agiliza tramites y tiempo, debería ser un ejemplo a seguir por otras administraciones.

Como cualquier ciudadano me puse a consultar mis datos, entre en la web de la Agencia Tributaria:

www.agenciatributaria.es
www.aeat.es


Después de unos minutos ya estaba en la web para identificarme como contribuyente:






Pero olvide el código de referencia, al comprobar mejor la web observe un detalle, entonces teclee unos datos verdaderos con otros falsos para comprobar que tipo de error nos devuelve, todo bien, entonces modifico un dato (se omite ya que es reportado), con la sorpresa que me encuentro con la web de pruebas de la Agencia Tributaria del 2007, pueden verlo en las siguientes imágenes;






Esto en si, no es un problema de seguridad, es mas un olvido de los programadores, aunque este servidor no debería estar en producción, el problema viene al comprobar el código fuente que nos devuelve, donde nos muestra información delicada acerca de algunos de los servidores, un pequeño ejemplo donde se omiten parte de ellos para no comprometer a los posibles servidores;



Después de comprobar esto, me asalta la siguiente pregunta: ¿quien es el culpable?

- Los programadores por no haber notificado y retirado el servidor activo de pruebas.

- Administradores de estos servidores.

- El personal de seguridad informática (posiblemente no sabrían ni de su existencia)

- Los supervisores.

- El responsable del departamento de contratación de personal.

- Mi curiosidad.


Espero que después de notificar este diminuto fallo, no vuelvan a surgir este tipo de problemas.


Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

privacidad

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!