Un total de 104.747 datos sensibles y privados de aplicantes a becas internacionales del Icetex se encuentran en línea sin ningún tipo de protección
El pasado 1 de marzo un usuario de Icetex envió un correo electrónico a Tutramite@Icetex.gov.co advirtiendo a la entidad que una falla de seguridad podría poner en riesgo los datos de cientos de personas.
Con detalle les explicó en qué consistía la vulnerabilidad y cuáles eran sus consecuencias. La entidad nunca respondió y no atendió la advertencia.
“Esta exposición de datos es de alta criticidad ya que corresponde a información sensible de los usuarios y el acceso a la misma no está controlado a través de autenticación”, les explicó en el correo que envió.
Al ver que nadie atendió su llamado se comunicó con MuchoHacker.lol y explicó con detalle técnico en qué consiste la falla.
Nuevamente se presenta un caso, de lo que podría ser una mala implementación tecnológica de servicios en la nube, que permite que cualquier persona pueda acceder a miles de datos de aplicantes de becas internacionales.
MuchoHacker.lol verificó que la advertencia es cierta y sin ningún tipo de conocimiento técnico o ‘hackeada’ pudo acceder a más de 10 documentos con información privada y sensible como cédula, cartas de recomendación, estados de Datacredito, cartas de universidades internacionales, entre otros, que están a un clic de distancia.
Igualmente, la persona que realizó la advertencia, condensó el número de entradas disponibles mediante un script que le permitió contar que en total están disponibles 104.747 documentos en línea sin ningún tipo de protección.
Antes de realizar esta publicación nos comunicamos con el Icetex quienes pidieron toda la información técnica de la falla y prometieron revisar y corregir el incidente. A diferencia de otras entidades, denunciadas en este blog, se tomaron en serio la advertencia. Estaremos atentos a revisar si se hace la correción.
La nube insegura
Los datos personales de un estudiante o profesor colombiano que visitó el Sakura Science Exchange Program en Japón están expuestos en un PDF. Su firma y sus deberes en el programa se pueden descargar de la nube del Icetex
Las cartas de recomendación de una persona de apellido Figueroa están en línea. Allí se pueden leer sus datos personales así como la información de quienes confirman que el usuario de Icetex ha venido haciendo un trabajo cultural en la localidad de Suba.
Dos entidades culturales expidieron dos cartas para certificar al joven Figueroa. Los datos privados de los representantes legales de estas entidades están en línea.
Las obligaciones crediticias y reportadas de una persona están en línea gracias a un documento escaneado que se encuentra en la nube.
La carta de recomendación de un trombonista de Sibaté, Cundinamarca, estudiante de la Universidad Nacional están en línea. Su cédula, teléfono, trayectoria, así como todo los datos privados (cédula, correo, celular, firma) de un Supervisor de la Banda Sinfónica Juvenil de Cundinamarca.
Estos son tan solo cinco ejemplos de los documentos encontrados. Como estos datos se encuentran 104.747 más.
Una ruta insegura
El ciudadano que hizo la advertencia a Icetex descubrió que su propio información estaba sin seguridad.
Su primer descubrimiento fue que en una URL sin la menor protección está la lista completa de todos los documentos.
Seguido a esto entendió que si seguía un patrón de la URL y lo relacionaba con su hallazgo y el iD de cada PDF podía identificar acceso a otros documentos. Así descubrió el problema que explicó con detalle a MuchoHacker.lol.
Pudimos verificar que tan solo cambiando un carácter de la URL principal se pueden acceder a todos los datos de los usuarios que han subido información a https://internacionalizacion.icetex.gov.co/Colfuturo-Login/login.xhtml
No se conoce desde cuándo se presenta esta falla.
Es claro que información privada de usuarios de Icetex no debe estar en línea por cuenta del riesgo que eso tiene para los titulares de los datos.
Este es otro caso de incumplimiento de la Ley de Protección de Datos. Otro caso más donde nadie responderá.