Un error en la web del Ministerio de la Vivienda permite acceder a datos de carácter personal

La web del ministerio de la vivienda en su portal para consultar la renta básica por emancipación, contenía un error que permitía acceder a los datos personales de los diferentes solicitantes. La vulnerabilidad basaba en el uso de los parámetros de la llamada a la página, de tal forma que modificando los mismos se podían recuperar datos de los diferentes solicitantes a las ayudas.

La vulnerabilidad fue descubierta por Alonso Vidales Miguélez, de tal forma que en la web http://rbe.vivienda.es, se podía acceder al nombre, apellidos, DNI, domicilio completo, estado, pagos pendientes en su alquier de vivienda o información fiscal comprometida, como deudas a la Agencia Tributaria de terceras personas. Además, el hecho de que la página no esté cifrada y se envíe la información en texto plano facilita que cualquier persona con un sniffer conectado a la red pueda capturar el dni y la clave de cada usuario en su consulta.

El Director de la Agencia de Protección de Datos ha ordenado la apertura de una investigación para determinar si pudiera habier existido una vulneración de la normativa de protección de datos.

El Ministerio había recibido avisos sobre esta grave vulnerabilidad a principios de esta semana. El martes el formulario estuvo desactivado, aunque más tarde volvió a aparecer 'online' con una vulnerabilidad similar.

Más información en:

- Diario El Mundo

- Nacionred

 

Actualizado (Lunes, 24 de Mayo de 2010 18:17)