Descripción de la incidencia:
A través de un script, se podía acceder a la carpeta www.padron.gob.ar/fotos/$folder/ que contenía las imágenes de los electores. Y desde allí hacer un download de las mismas.
Ramiro Álvarez Ugarte, director de Acceso a la Información y Privacidad de ADC, lanzó un tweet difundiendo la noticia.
Las fotos eran levantadas del SIBIOS, el Sistema de Identificación Biométrica para la Seguridad implementado en los nuevos DNI y pasaportes, del cual se ha quejado Julian Assange por ser uno de los más invasivos en América Latina. También Stallman había indicado que no volvería a la Argentina por la implementación de este sistema.
Si los datos de las personas están almacenados en los servidores del Poder Judicial de la Nación, la Comisión Nacional Electoral es quien gestiona los datos, por ello la ACD ha denunciado a este organismo. Hasta el momento, se han dado de baja el sitio del padrón, pero las fotos siguen allí.
A continuación, dejo parte de la página del supuesto usuario que detectó el fallo:
Todo parte de la aplicación del Padrón 2013 disponible en Google Play, del Ministerio del Interior. Esta nos permite consultar en dónde votamos con solo introducir nuestro DNI y sexo. Colocando un proxy interceptador, o en otras palabras, viendo qué manda y hacia dónde hace la conexión la aplicación para verificar la existencia en el padrón, pude descubrir que esta hace requests por GET a un subdominio de mininterior.gov.ar.
Les dejo un archivo .pdf que contiene parte de la página del site de esta persona:
fallo en el padron electoral 2013
Fuente:
- http://www.infotechnology.com/internet/Por-una-falla-de-seguridad-se-pueden-descargar-fotos-del-padron-electoral-20131104-0001.html
- http://www.lanacion.com.ar/1635285-una-falla-de-seguridad-permite-la-descarga-de-fotos-del-padron-electoral
- http://anotherbitinthewall.wordpress.com/2013/10/20/padron-2013-o-como-manejar-la-informacion-desastrosamente/
