Un error de la JUNAEB en Chile expone datos privados de becarios
Publicado el 15-6-2009 a las 16:45 por 
Boxbyte
Boxbyte 
Imagen ©Terra Networks Chile S.A.
La Junta Nacional de Auxilio escolar y Becas (JUNAEB) de Chile que maneja casi 3 millones de datos de niños y jóvenes beneficiados por becas y otros programas por un descuido de seguridad expuso datos y documentos relacionados con la Beca Presidente de la República. Muchos de estos datos contienen datos específicos como nombres y el RUT (Rol Único Tributario) que se refiere a un número de identificación perteneciente a cada persona en Chile, con los que pueden cometerse fraudes.
Esta irregularidad fue descubierta por el programador Paolo Norambuena Sandoval que notificó a Terra.cl quién a su vez alertó a Juan Carlos Cabezas, director nacional de la JUNAEB, quien de inmediato retiro la información.
El problema radicaba en una mala configuración del servidor, falta de seguridad y permisos en carpetas que hizo posible descubrir estados datos. Esto sumado con el hecho de que el administrador guardaba los respaldos en la carpeta expuesta http://zeus.junaeb.cl/becapres/ .
Ante estos hechos es necesario, vigilar y asegurar la confidencialidad de datos privados ya que en Chile esta información está protegida por la Ley Nº 19.628 Sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal.
Es necesario recurrir a buenas prácticas de seguridad ante este tipo de información, y hay que recordar que Google indexa todo lo que encuentra, si no pregúntenle a aquel administrador del sitio (en el 2007) de la Cámara de Diputados en México.
Link: Error de JUNAEB expone en internet datos personales de escolares chilenos (Terra.cl)
Publicado por Boxbyte el 15 de June 2009 en la categoría Destacados, Internet con los tags Chile, Internet, JUNAEB, Seguridad. Tiene 67 comentarios.
Compartir67 Comentarios
Un error de la JUNAEB en Chile expone datos privados de becarios
33Alvaro dijo el 15-6-2009 a las 16:56:
esta si esta wena, ya hay una pagina que vende mis datos en internet, y ahora estos wns los regalan!
5Cabezon dijo el 15-6-2009 a las 17:03:
Y si fuera el registro civil, ¿que pasaria?, en el gobierno se harian los weones, o cortarian cabezas, aunque casi siempre cortan la cabeza de los de abajo, no del responsable del area.
31Simon dijo el 15-6-2009 a las 17:04:
Mas alla de la seguridad del sistema operativo , que si es linux , windows , unix ; si el problema esta entre el teclado y la silla , no puedes hacer nada. 
20Marcelificus dijo el 15-6-2009 a las 17:05:
Me encanta como trabajan los ingenieros de la catolica… pfff!!! saco de weas no mas!!! ¬¬
14mat1986 dijo el 15-6-2009 a las 17:07:
Esta irregularidad fue descubierta por el programador Paolo Norambuena Sandoval que notificó a Terra.cl quién a su vez alertó a Juan Carlos Cabezas, director nacional de la JUNAEB, quien de inmediato retiro la información.
¿Era necesario “farandulizar” la situación?
¿Por qué no se lo dijo directamente al director de la JUNAEB?
No entiendo :-S
2Andres dijo el 15-6-2009 a las 17:10:
Lamentablemente, Junaeb siempre ha tenido este tipo de problemas, sobretodo el nivel de seguridad de su server zeus es horrible.. de hecho, es(era) posible descargar algunos contenidos que estaban zipeados… archivos php sobretodo. Lo malo además, es que más de alguna megaempresa pudo haber accesado a esos datos personales, y los afectados, condenados de por vida… pff
-3Wirouuu dijo el 15-6-2009 a las 17:18:
Alguien puede entrar a la base de datos y dejar un reclamo formal, el anio pasado los weones me dieron mi pase escoalar en AGOSTO, y me hicieron tramitar demasaido.
1Cristian dijo el 15-6-2009 a las 17:22:
Esta noticia es un poco vieja, si, recuerdo que la lei hace mas de una semana atras, si es que alguien me corrije.
2mauricio dijo el 15-6-2009 a las 17:27:
pura mierda los servidores de la junaeb, hace 2 años me pude “meter” al server ya que los muy weas dejaron como password del servidor increiblemente con los pass por defecto, en esa ocación los llamé(trabajo para el estado) y me comunicaron con la encargada del área informática, recién ahí los cambiaron.
3Christian dijo el 15-6-2009 a las 17:30:
Error 300…entre el computador y el asiento…como tan ahuonao
Ver Comentario... Cristhian dijo el 15-6-2009 a las 17:34 ...
2Sebastián Bilbao dijo el 15-6-2009 a las 17:46:
No se de qué se asombran, si son datos públicos, que cualquiera puede sacar.
Pidan en el Reg Civil un certificado de nacimiento de algún cercano, y verán…
según la ley, esos datos no son sensibles, y por lo tanto no están vedados ni son “PRIVADOS”
8Servidor_muy_triste dijo el 15-6-2009 a las 17:48:
me sumo a la queja
yo como servidor tambien me quejo de mi info publica
1benjamin dijo el 15-6-2009 a las 17:49:
@Marcelificus
y hay que ver cuanto se les paga pueh!!!…… que verguenza.
Se nota que detras de esto hay manos bastante mal conectadas a su cerebro. piensan algo y escriben otra cosa.
El gobierno…. ..como dijo el Chuña-.—— AAAAAAYAYAYYYY!!!!
1Sebastián Bilbao dijo el 15-6-2009 a las 17:51:
@Marcelificus
no son de la católica, es más, creo q de la Sta María
http://www.tuxpan.com/content/sp/clientes/opublicos.php
1Wladimir dijo el 15-6-2009 a las 17:53:
Puros apitutados no mas!
Con profesionales asi no llegamos ni a la esquina. O llegamos, pero a paso de caracol.
7alemanito dijo el 15-6-2009 a las 17:53:
El tema es que google no perdona
http://www.google.cl/search?hl=es&q=site%3Azeus.junaeb.cl%2Fbecapres%2F&btnG=Buscar&meta=
3alejandro dijo el 15-6-2009 a las 18:00:
Yo encuentro mal lo que hizo quién pilló el detalle, debió avisar directamente al webmaster o por último a la Junaeb. Pero enviar un correo directamente a terra, no me parece nada ético, por más tonto que sea el error. Me carga la gente que busca los errores de los demás para anular y perjudicar, con el único objetivo de levantar su ego (salio su nombre en terra).
3Pedro A. dijo el 15-6-2009 a las 18:34:
El RUT no es tan sensible. De hecho el registro electoral vende varios millones de RUTs por una módica suma.
-2Andrez dijo el 15-6-2009 a las 18:49:
si pero entre que lo vendan y lo dejen asi de como en este caso hay una diferencia bastante considerable
Ver Comentario... piniolete dijo el 15-6-2009 a las 19:05 ...
5Panic_Show dijo el 15-6-2009 a las 19:23:
Como bien dice @alemanito, el problema es que google no perdona!!
Ojala solucionen esto lo antes posible…
Saludos
3Czarnian dijo el 15-6-2009 a las 19:31:
oigan, me sorprende….las personas tienen RUN (Rol Unico Nacional), las empresas y personas juridicas tuenen RUT (Rol Unico Tributario)….
y como la banca privada no esta regulada, las bases de datos con deudas se venden a empresas de factoring y recuperacion de capitales como nada, es una costumbre comun.
Ojala un dia falabella o lider tuvieran una caida de firewall para pelarles los roles de deuda y ver finalmente cuan endeudados nos tienen esoso ctms.
mas research po muchachos.
slds,
Czarnian
2Czarnian dijo el 15-6-2009 a las 19:33:
@piniolete: en argentina no pasa eso porque aun tienen carnet de identidad de carton, y tiene que hacerlo con foto pasaporte y tiene que ir a su delegacion federal para ver el acta de nacimiento y darles un carnet…con ese nivel de avance en el manejo de datos, alla venden los RUN en rollo pergamino….
si miento que me desmienta un argentino, que anduve alla y todavia usan carnet de papel verde olivo.
slds
-4joaquin núñez dijo el 15-6-2009 a las 19:44:
<troll>
@Sebastián Bilbao
ujujujujuju de tuxpan .. q chistoso y uno escribe aca en fayerwayer ….. el señor franco catrin…
y al parecer no sirve de mucho haberse “transformado en alguien” después de los encuentros linux porqué todo quienes lo “conocen y respetan en la comunidad” … quizas ahora lo agarren pal webeo jjojojjojoj
@Marcelificus <—- wajajaj el wn resentido … eres más troll q yo
</troll>
1Dante dijo el 15-6-2009 a las 20:32:
Concuerdo con el comentario de @Czarnian. Resulta que las personas naturales tenemos RUN no RUT. Igual bien feo que publiquen una noticia con un error así. Lo mismo a que tenga faltas de ortografía (que las hay).
Saludos
4GUSTAVOX dijo el 15-6-2009 a las 21:16:
@Czarnian
Lo que viste es el DNI, lo entrega el registro civil, que es un documento por así decirlo “global” donde hay todo tipo de informacion: de salúd, tu tipo de sangre, alérgias, si eres donante de organos, informacion de tus padres, domicilio, de tu situacion militar, si eres votante, etc… (parece un pasaporte pero no lo és)
http://upload.wikimedia.org/wikipedia/commons/b/b8/Dniargentino.jpg
Pero tambien está la cédula al igual que acá, y que tiene el mismo poder que el DNI excepto que no puedes votar con él, para el resto de las cosas sirve igual. La cédula eso si, no la dá el registro civil, la entrega la policía federal.
http://upload.wikimedia.org/wikipedia/commons/f/fc/Cedula_Identidad_Argentina.jpg
Y casualmente la cedula chilena es muy similar a la argentina, así que aunque te duela, ellos tienen una cedula como la gente desde mucho antes que nosotros. Tengo familiares allá y cuando fui las vi.
Y porqué digo esto? porque me enferma ver a los soberbios.
saludos =)
0GUSTAVOX dijo el 15-6-2009 a las 21:20:
El problema entre el RUT y el RUN es evidente… PERO
Si el mismo bancoestado hace “cuentas RUT” ¿quien va a dudar?
En todas las paginas de los bancos se pide el rut..
la cosa debería empezar por educar a todos del verdadero significado de las cosas.
en fin… son detalles…
0MIGUEWEB dijo el 15-6-2009 a las 21:27:
UNA CORRECCIÓN EL NUMERO DE RUT ES OTORGADO POR EL SII A PERSONAS JURÍDICAS EN CHILE QUE LO SOLICITEN PARA FINES TRIBUTARIOS; YO CREO QUE LO QUE SE FILTRO ES EL RUN (ROL UNICO NACIONAL) QUE ES ENTREGADO A CADA CHILENO AL NACER Y QUE EN EL CASO DE LAS PERSONAS NATURALES ES EQUIVALENTE A SU NUMERO DE RUT.
SE PODRÍA CORREGIR ESO EN EL ARTICULO.
0MIGUEWEB dijo el 15-6-2009 a las 21:41:
NO VI LA CORRECCIÓN DE DANTE IGUAL ARREGLENLO PARECE QUE ESTUVIERAN HABLANDO DE LOS PROVEEDORES
ELLOS TIENEN RUT LOS NIÑOS Y JÓVENES RUN
0Shinichi dijo el 15-6-2009 a las 22:07:
Creo que el año pasado hubo una noticia similar, de que también era posible acceder a la información de inscripción de una persona en el sitio web de la Junaeb, al colocar el RUN en la barra de direcciones
Para los que discuten respecto al RUN y RUT, en cierta forma están en lo correcto, sólo quiero agregar, que las personas naturales SÍ tienen RUT, que para simplificarnos la vida coincide con nuestro RUN.
Por lo que decir “Muchos de estos datos contienen datos específicos como nombres y el RUT” no está del todo mal. En general hay que fijarse en el contexto, si hablamos de asuntos tributarios sería RUT (ej: sii.cl) y si el tema tiene más que ver con identificación personal se debiese decir RUN.
3Contemporaneo dijo el 15-6-2009 a las 22:15:
Nota Mental: No otorgar permisos de lectura a terceros.
0Abel dijo el 15-6-2009 a las 22:25:
Uta y yo me había dado cuenta el año pasado :p . No tenía idea que era tan importante, habria salio mi nombre en la noticia.
Me acuerdo que se podía buscar por RUT o nombre y se podían modificar unos valores como: el día de pago, el monto, etc…
2pckz dijo el 15-6-2009 a las 23:28:
google no mercy :
http://www.google.com/search?q=site:zeus.junaeb.cl/becapres
xD!!!!!
2Takuru dijo el 16-6-2009 a las 00:01:
Otro WNMaster trabajando peor que pendejo de 5 años con un mouse.
-2Miguel dijo el 16-6-2009 a las 01:21:
xDD yo buscando unos datos en google sobre mi apellido que es un poco peculiar el año pasado me tope con esa pagina en donde estaban mis datos de becario, lo cual me extraño pero no crei q fuera para tanto…como tan WnS!
0Simon Urzua dijo el 16-6-2009 a las 01:24:
Lo chistoso es que bloquearon la carpeta Archivos nomas pero igual pueden descargar los .tar.gz que tienen los archivos de programacion PHP si ponen los enlaces que aparecen en las fotos…….. y esto paso hace harto tiempo ya
0Miguel dijo el 16-6-2009 a las 01:28:
Si, esa vez sin malas intenciones y solo por curiosidad baje los tar.bz y sale TODO…
0Francisco dijo el 16-6-2009 a las 01:37:
Por favor empresa responsable!, hasta cuándo pasan estas cosas?!!! que bajo nivel.
0El Santa dijo el 16-6-2009 a las 02:04:
No voy a decir mucho respecto a lo añeja de la noticia, peeero… con el RUN de una persona se puede saber mucho y tenemos de todas las especies y para todos los gustos. Por citar algunos ejemplos:
- Campaña de recolección de firmas en Facebook donde solicitan poner un par de datos personales, entre ellos el nombre completo y el RUN.
- Acumulación de puntos y/o descuentos en farmacias, supermercados, multitiendas, etc. Típicamente uno (me incluyo) vocifera su propio RUN sin mayores cuidados.
- Sistemas informáticos varios donde el usuario es el RUN y la clave los últimos 4 dígitos (o los 4 primeros).
¿Paranoia? quizás un poco, pero siempre hemos estado más expuestos de lo que uno quiere creer, y normalmente por culpa propia.
-1Nork_MG dijo el 16-6-2009 a las 03:07:
…. pfffffffff … y la publicación de datos personales sigue activa …
google no merce part 3:
http://www.google.com/search?hl=en&q=site%3Azeus.junaeb.cl%2Fbecapres+%2B+pdf&btnG=Search
… yo cobro $3.700.000 por evaluar la seguridad de las bases de datos y webs y solucionar estos problemas, y me demoro 1.5 meses
0Freddyx dijo el 16-6-2009 a las 04:05:
Toy viendo rodar la cabeza de ese informatico
kmo tan pollo xD
siempre digo hay weones q nosaben niuna wea y tienen pega
y nososotros que sabemos estamos cesantes
por eso el pais no progresa xD
0Freddyx dijo el 16-6-2009 a las 04:16:
OWNED
$CATALINA_HOME/webapps/ROOT/index.jsp
Sera la mina la catalina ?? xD
1rcpc dijo el 16-6-2009 a las 09:45:
Resulta comico el que en los servicios públicos no se preocupen de la seguridad. Es cosa de ver a cualquier servicio público que tenga apache o IIS y tienen browseable sus sitios. Esperemos que mejoren la calidad de los administradores, no me gustaria aparecer en algun listado por equivocación de otros.
0lancedehm dijo el 16-6-2009 a las 09:59:
Increible… En el caso de descubrir una vulnerabilidad en cualquier lugar lo importante es, que si eres ético, debes informarlo a las autoridades correspondientes. Existen numerosas vias de información por las cuales se puede hacer esto, una de ellas es ClCERT en donde puedes reportar una indicencia. Nunca está demás también mencionar Cibercrimen o directamente a los administradores de los sitios.
Farandularizar este tipo de cosas solo promueve la “alegoria” de dar a conocer hechos delicados en un contexto público que no lo amerita.
0TecnoFury dijo el 16-6-2009 a las 10:03:
Yo no se de donde sacan a esos informáticos, de las Us de carton??? bueno quizás no sea ni informático y sea un hijo de algún funcionario apitutao y que no sepa hacer ni una lesera… que rabia u.u
0TaLoBike dijo el 16-6-2009 a las 10:14:
*********************************************
*****************************************
CUECK!!!
0son dijo el 16-6-2009 a las 11:18:
@freddyx que tiene de owned eso ?
$CATALINA_HOME es el directorio de instalacion de Tomcat 
0Alejandro Vargas Droguett dijo el 16-6-2009 a las 13:22:
chmod 777 . jajaja !!!!! cuidado a quien entregamos nuestros datos.
1nerd dijo el 16-6-2009 a las 13:33:
después de la guerra todos son generales… es importante que se de el aviso 1º a quien tiene la responsabilidad de resolver esto, luego a la comunidad que está involucrada y más importante es que se tomen efectivamente las medidas que regularicen esto… pudo ser un tipo de harvard, del mit o un CFT.. da lo mismo…
0PaYaZo dijo el 16-6-2009 a las 16:40:
uuu que fuerte, otro mas de los super sistemas y web del gobierno 
saludos
1Trüpaileo dijo el 5-7-2009 a las 23:51:
Me parece sumamente ridiculo que se cuestiono lo etico o no de informar a los medios de comunicación la situación, más aun cuando quien detecto este error intento informar a Junaeb. Lo carente de etica seria no informar a los cientos de afectados sobre lo que ocurre con su información personal.
1wjota dijo el 6-7-2009 a las 18:12:
lancedehm :
Ojalá hubieses estado en la UBB los días en que se descubrió el fallo, de seguro no estarías diciendo lo que escribes ahora, en fin.
Les cuento un poco como fue el cuento, desde el momento que se descubrió el fallo hasta que salió en la prensa pasó un poco mas de un mes, durante ese mes estuvimos llamando, tratando de comunicarnos con gente de la junaeb y de primera simplemente no contestaban los fonos, después decían bueno vamos a ver el caso pero todo seguía tal cual, mientras nuestros compañeros que salían en ese listado seguían hechando puteadas al mundo.
finalmente, entre tantos avisos del fallo a personas de la junaeb, (además siempre nos negaban al director) decidimos que les avisaran desde la prensa, así que con el compromiso de que avisaran y una vez corregido el error pudieran publicar, le comunicamos a terra, quienes cumplieron con el compromiso, ellos avisaron al director de la junaeb, corrigieron el fallo y después de una semana publicaron el tema.
Ahora, para aquellos que dicen para que farandulizar el cuento, bueno, entre farandulizar y que se haya corregido el error y que se mantenga el error y siga la información a disposición del que se le ocurra, preferimos tratar de avisar por cualquier método. pero ahora me pregunto si ustedes hubiesen estado en esos listados ¿que hubiesen preferido, que se mantuvieran los datos a libre disposición o que se cerrara y avisara a la población?.
Saludos!
Proveedores de Internet empiezan a bloquear el puerto 25
Chile: PublicaOpinion.com lanza versión 2.0![Chile: Congreso debate modificaciones a Ley de Propiedad Intelectual [FW Live]](/up/2009/11/41805-thumbnail-100x100.png)
Chile: Congreso debate modificaciones a Ley de Propiedad Intelectual [FW Live]
Chile: Telefónica cambia todos sus productos a marca Movistar 
Chile: Webprendedor 2009 se realizará el 20 y 21 de Noviembre
Chile: VTR lanza plan de internet de 15 Mbps
Chile: El Diputado Gonzalo Arenas habla sobre el proyecto de Ley de Propiedad Intelectual
Chile sigue a la cabeza en conexiones de Banda Ancha
Chile: Gobierno da urgencia a Neutralidad en la Red
Gobierno chileno: No se le cortará internet a quienes descarguen archivos
Chile: Proyecto de Ley exige desconectar internet a quienes realicen descargas ilegales
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
