Desde hace unos años la Agencia Tributaria pone a disposición de los ciudadanos varias opciones para consultar o solicitar el borrador de la declaración de hacienda, con insertar nuestro código y datos personales en pocos segundos tenemos toda la información para realizar nuestra declaración de la renta, como es normal los programadores tienen que realizar varias pruebas para comprobar que este servicio funcione correctamente y además nos asegure privacidad con el tratamiento de nuestros datos.
Pero un fallo tan simple puede permitir ver información detallada de algún path y servidor que no deberían ser mostrados a los usuarios.
20-5-2008; El problema esta solucionado.
19-05-2008 - El otro día muchos ciudadanos recibimos un sms donde nos informan que ya esta disponible nuestro borrador de la declaración de Renta 2007, para consultarlo nos facilita una referencia, personalmente este servicio me parece estupendo ya que agiliza tramites y tiempo, debería ser un ejemplo a seguir por otras administraciones.
Como cualquier ciudadano me puse a consultar mis datos, entre en la web de la Agencia Tributaria:
www.agenciatributaria.es
www.aeat.es
Después de unos minutos ya estaba en la web para identificarme como contribuyente:
Pero olvide el código de referencia, al comprobar mejor la web observe un detalle, entonces teclee unos datos verdaderos con otros falsos para comprobar que tipo de error nos devuelve, todo bien, entonces modifico un dato (se omite ya que es reportado), con la sorpresa que me encuentro con la web de pruebas de la Agencia Tributaria del 2007, pueden verlo en las siguientes imágenes;
Esto en si, no es un problema de seguridad, es mas un olvido de los programadores, aunque este servidor no debería estar en producción, el problema viene al comprobar el código fuente que nos devuelve, donde nos muestra información delicada acerca de algunos de los servidores, un pequeño ejemplo donde se omiten parte de ellos para no comprometer a los posibles servidores;
Después de comprobar esto, me asalta la siguiente pregunta: ¿quien es el culpable?
- Los programadores por no haber notificado y retirado el servidor activo de pruebas.
- Administradores de estos servidores.
- El personal de seguridad informática (posiblemente no sabrían ni de su existencia)
- Los supervisores.
- El responsable del departamento de contratación de personal.
- Mi curiosidad.
Espero que después de notificar este diminuto fallo, no vuelvan a surgir este tipo de problemas.
Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org -
www.seguridadenlared.org -
www.seguridadpymes.es
Asociación de Internautas.
www.internautas.org