Un error de la JUNAEB en Chile expone datos privados de becarios
Publicado el 15-6-2009 a las 16:45 por 
Boxbyte
Boxbyte 
Imagen ©Terra Networks Chile S.A.
La Junta Nacional de Auxilio escolar y Becas (JUNAEB) de Chile que maneja casi 3 millones de datos de niños y jóvenes beneficiados por becas y otros programas por un descuido de seguridad expuso datos y documentos relacionados con la Beca Presidente de la República. Muchos de estos datos contienen datos específicos como nombres y el RUT (Rol Único Tributario) que se refiere a un número de identificación perteneciente a cada persona en Chile, con los que pueden cometerse fraudes.
Esta irregularidad fue descubierta por el programador Paolo Norambuena Sandoval que notificó a Terra.cl quién a su vez alertó a Juan Carlos Cabezas, director nacional de la JUNAEB, quien de inmediato retiro la información.
El problema radicaba en una mala configuración del servidor, falta de seguridad y permisos en carpetas que hizo posible descubrir estados datos. Esto sumado con el hecho de que el administrador guardaba los respaldos en la carpeta expuesta http://zeus.junaeb.cl/becapres/ .
Ante estos hechos es necesario, vigilar y asegurar la confidencialidad de datos privados ya que en Chile esta información está protegida por la Ley Nº 19.628 Sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal.
Es necesario recurrir a buenas prácticas de seguridad ante este tipo de información, y hay que recordar que Google indexa todo lo que encuentra, si no pregúntenle a aquel administrador del sitio (en el 2007) de la Cámara de Diputados en México.
Link: Error de JUNAEB expone en internet datos personales de escolares chilenos (Terra.cl)
Publicado por Boxbyte el 15 de June 2009 en la categoría Destacados, Internet con los tags Chile, Internet, JUNAEB, Seguridad. Tiene 67 comentarios.
Compartir67 Comentarios
Un error de la JUNAEB en Chile expone datos privados de becarios
Ver Comentario... piniolete dijo el 15-6-2009 a las 19:05 ...
5Panic_Show dijo el 15-6-2009 a las 19:23:
Como bien dice @alemanito, el problema es que google no perdona!!
Ojala solucionen esto lo antes posible…
Saludos
3Czarnian dijo el 15-6-2009 a las 19:31:
oigan, me sorprende….las personas tienen RUN (Rol Unico Nacional), las empresas y personas juridicas tuenen RUT (Rol Unico Tributario)….
y como la banca privada no esta regulada, las bases de datos con deudas se venden a empresas de factoring y recuperacion de capitales como nada, es una costumbre comun.
Ojala un dia falabella o lider tuvieran una caida de firewall para pelarles los roles de deuda y ver finalmente cuan endeudados nos tienen esoso ctms.
mas research po muchachos.
slds,
Czarnian
2Czarnian dijo el 15-6-2009 a las 19:33:
@piniolete: en argentina no pasa eso porque aun tienen carnet de identidad de carton, y tiene que hacerlo con foto pasaporte y tiene que ir a su delegacion federal para ver el acta de nacimiento y darles un carnet…con ese nivel de avance en el manejo de datos, alla venden los RUN en rollo pergamino….
si miento que me desmienta un argentino, que anduve alla y todavia usan carnet de papel verde olivo.
slds
-4joaquin núñez dijo el 15-6-2009 a las 19:44:
<troll>
@Sebastián Bilbao
ujujujujuju de tuxpan .. q chistoso y uno escribe aca en fayerwayer ….. el señor franco catrin…
y al parecer no sirve de mucho haberse “transformado en alguien” después de los encuentros linux porqué todo quienes lo “conocen y respetan en la comunidad” … quizas ahora lo agarren pal webeo jjojojjojoj
@Marcelificus <—- wajajaj el wn resentido … eres más troll q yo
</troll>
1Dante dijo el 15-6-2009 a las 20:32:
Concuerdo con el comentario de @Czarnian. Resulta que las personas naturales tenemos RUN no RUT. Igual bien feo que publiquen una noticia con un error así. Lo mismo a que tenga faltas de ortografía (que las hay).
Saludos
4GUSTAVOX dijo el 15-6-2009 a las 21:16:
@Czarnian
Lo que viste es el DNI, lo entrega el registro civil, que es un documento por así decirlo “global” donde hay todo tipo de informacion: de salúd, tu tipo de sangre, alérgias, si eres donante de organos, informacion de tus padres, domicilio, de tu situacion militar, si eres votante, etc… (parece un pasaporte pero no lo és)
http://upload.wikimedia.org/wikipedia/commons/b/b8/Dniargentino.jpg
Pero tambien está la cédula al igual que acá, y que tiene el mismo poder que el DNI excepto que no puedes votar con él, para el resto de las cosas sirve igual. La cédula eso si, no la dá el registro civil, la entrega la policía federal.
http://upload.wikimedia.org/wikipedia/commons/f/fc/Cedula_Identidad_Argentina.jpg
Y casualmente la cedula chilena es muy similar a la argentina, así que aunque te duela, ellos tienen una cedula como la gente desde mucho antes que nosotros. Tengo familiares allá y cuando fui las vi.
Y porqué digo esto? porque me enferma ver a los soberbios.
saludos =)
0GUSTAVOX dijo el 15-6-2009 a las 21:20:
El problema entre el RUT y el RUN es evidente… PERO
Si el mismo bancoestado hace “cuentas RUT” ¿quien va a dudar?
En todas las paginas de los bancos se pide el rut..
la cosa debería empezar por educar a todos del verdadero significado de las cosas.
en fin… son detalles…
0MIGUEWEB dijo el 15-6-2009 a las 21:27:
UNA CORRECCIÓN EL NUMERO DE RUT ES OTORGADO POR EL SII A PERSONAS JURÍDICAS EN CHILE QUE LO SOLICITEN PARA FINES TRIBUTARIOS; YO CREO QUE LO QUE SE FILTRO ES EL RUN (ROL UNICO NACIONAL) QUE ES ENTREGADO A CADA CHILENO AL NACER Y QUE EN EL CASO DE LAS PERSONAS NATURALES ES EQUIVALENTE A SU NUMERO DE RUT.
SE PODRÍA CORREGIR ESO EN EL ARTICULO.
0MIGUEWEB dijo el 15-6-2009 a las 21:41:
NO VI LA CORRECCIÓN DE DANTE IGUAL ARREGLENLO PARECE QUE ESTUVIERAN HABLANDO DE LOS PROVEEDORES
ELLOS TIENEN RUT LOS NIÑOS Y JÓVENES RUN
0Shinichi dijo el 15-6-2009 a las 22:07:
Creo que el año pasado hubo una noticia similar, de que también era posible acceder a la información de inscripción de una persona en el sitio web de la Junaeb, al colocar el RUN en la barra de direcciones
Para los que discuten respecto al RUN y RUT, en cierta forma están en lo correcto, sólo quiero agregar, que las personas naturales SÍ tienen RUT, que para simplificarnos la vida coincide con nuestro RUN.
Por lo que decir “Muchos de estos datos contienen datos específicos como nombres y el RUT” no está del todo mal. En general hay que fijarse en el contexto, si hablamos de asuntos tributarios sería RUT (ej: sii.cl) y si el tema tiene más que ver con identificación personal se debiese decir RUN.
3Contemporaneo dijo el 15-6-2009 a las 22:15:
Nota Mental: No otorgar permisos de lectura a terceros.
0Abel dijo el 15-6-2009 a las 22:25:
Uta y yo me había dado cuenta el año pasado :p . No tenía idea que era tan importante, habria salio mi nombre en la noticia.
Me acuerdo que se podía buscar por RUT o nombre y se podían modificar unos valores como: el día de pago, el monto, etc…
2pckz dijo el 15-6-2009 a las 23:28:
google no mercy :
http://www.google.com/search?q=site:zeus.junaeb.cl/becapres
xD!!!!!
2Takuru dijo el 16-6-2009 a las 00:01:
Otro WNMaster trabajando peor que pendejo de 5 años con un mouse.
-2Miguel dijo el 16-6-2009 a las 01:21:
xDD yo buscando unos datos en google sobre mi apellido que es un poco peculiar el año pasado me tope con esa pagina en donde estaban mis datos de becario, lo cual me extraño pero no crei q fuera para tanto…como tan WnS!
0Simon Urzua dijo el 16-6-2009 a las 01:24:
Lo chistoso es que bloquearon la carpeta Archivos nomas pero igual pueden descargar los .tar.gz que tienen los archivos de programacion PHP si ponen los enlaces que aparecen en las fotos…….. y esto paso hace harto tiempo ya
0Miguel dijo el 16-6-2009 a las 01:28:
Si, esa vez sin malas intenciones y solo por curiosidad baje los tar.bz y sale TODO…
0Francisco dijo el 16-6-2009 a las 01:37:
Por favor empresa responsable!, hasta cuándo pasan estas cosas?!!! que bajo nivel.
0El Santa dijo el 16-6-2009 a las 02:04:
No voy a decir mucho respecto a lo añeja de la noticia, peeero… con el RUN de una persona se puede saber mucho y tenemos de todas las especies y para todos los gustos. Por citar algunos ejemplos:
- Campaña de recolección de firmas en Facebook donde solicitan poner un par de datos personales, entre ellos el nombre completo y el RUN.
- Acumulación de puntos y/o descuentos en farmacias, supermercados, multitiendas, etc. Típicamente uno (me incluyo) vocifera su propio RUN sin mayores cuidados.
- Sistemas informáticos varios donde el usuario es el RUN y la clave los últimos 4 dígitos (o los 4 primeros).
¿Paranoia? quizás un poco, pero siempre hemos estado más expuestos de lo que uno quiere creer, y normalmente por culpa propia.
-1Nork_MG dijo el 16-6-2009 a las 03:07:
…. pfffffffff … y la publicación de datos personales sigue activa …
google no merce part 3:
http://www.google.com/search?hl=en&q=site%3Azeus.junaeb.cl%2Fbecapres+%2B+pdf&btnG=Search
… yo cobro $3.700.000 por evaluar la seguridad de las bases de datos y webs y solucionar estos problemas, y me demoro 1.5 meses
0Freddyx dijo el 16-6-2009 a las 04:05:
Toy viendo rodar la cabeza de ese informatico
kmo tan pollo xD
siempre digo hay weones q nosaben niuna wea y tienen pega
y nososotros que sabemos estamos cesantes 
por eso el pais no progresa xD
0Freddyx dijo el 16-6-2009 a las 04:16:
OWNED
$CATALINA_HOME/webapps/ROOT/index.jsp
Sera la mina la catalina ?? xD
1rcpc dijo el 16-6-2009 a las 09:45:
Resulta comico el que en los servicios públicos no se preocupen de la seguridad. Es cosa de ver a cualquier servicio público que tenga apache o IIS y tienen browseable sus sitios. Esperemos que mejoren la calidad de los administradores, no me gustaria aparecer en algun listado por equivocación de otros.
0lancedehm dijo el 16-6-2009 a las 09:59:
Increible… En el caso de descubrir una vulnerabilidad en cualquier lugar lo importante es, que si eres ético, debes informarlo a las autoridades correspondientes. Existen numerosas vias de información por las cuales se puede hacer esto, una de ellas es ClCERT en donde puedes reportar una indicencia. Nunca está demás también mencionar Cibercrimen o directamente a los administradores de los sitios.
Farandularizar este tipo de cosas solo promueve la “alegoria” de dar a conocer hechos delicados en un contexto público que no lo amerita.
0TecnoFury dijo el 16-6-2009 a las 10:03:
Yo no se de donde sacan a esos informáticos, de las Us de carton??? bueno quizás no sea ni informático y sea un hijo de algún funcionario apitutao y que no sepa hacer ni una lesera… que rabia u.u
0TaLoBike dijo el 16-6-2009 a las 10:14:
*********************************************
*****************************************
CUECK!!!
Ver Todos Páginas: ← 1 [2] 3 Próximos 30 Comentarios →
Proveedores de Internet empiezan a bloquear el puerto 25
Chile: PublicaOpinion.com lanza versión 2.0![Chile: Congreso debate modificaciones a Ley de Propiedad Intelectual [FW Live]](/up/2009/11/41805-thumbnail-100x100.png)
Chile: Congreso debate modificaciones a Ley de Propiedad Intelectual [FW Live]
Chile: Telefónica cambia todos sus productos a marca Movistar 
Chile: Webprendedor 2009 se realizará el 20 y 21 de Noviembre
Chile: VTR lanza plan de internet de 15 Mbps
Chile: El Diputado Gonzalo Arenas habla sobre el proyecto de Ley de Propiedad Intelectual
Chile sigue a la cabeza en conexiones de Banda Ancha
Chile: Gobierno da urgencia a Neutralidad en la Red
Gobierno chileno: No se le cortará internet a quienes descarguen archivos
Chile: Proyecto de Ley exige desconectar internet a quienes realicen descargas ilegales
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: ← 1 [2] 3 Próximos 30 Comentarios →