Con el fin de informar a las autoridades chilenas sobre una falla de seguridad en sus sistemas, uno de los administradores del sitio web Zerial.org, de nombre Fernando, publicó hoy un post en su blog que muestra al público general un error importante en un software del Gobierno de Chile, el cual da acceso a datos de instituciones como el Servicio Nacional de la Mujer, Subsecretaría de Telecomunicaciones, Ministerio del Trabajo, Fondo Nacional de Salud (FONASA), entre varios otros.
La vulnerabilidad tendría lugar en un programa de código abierto, distribuido de manera gratuita por el Ministerio Secretaría General de Gobierno (SEGPRES), el cual fue instalado en el marco de la Ley 20.285, más conocida como la “Ley de Transparencia”, aprobada en 2008.
Según publica Fernando en su blog, la vulnerabilidad permite al atacante “tomar control del servidor subiendo shells remotas gracias a un upload bypass, acceder a información confidencial como usuarios y pass de la base de datos, detalles de las solicitudes realizadas y en algunos accesos accesos a otras bases de datos que existan en el mismo servidor”. Esto sería posible desde el momento mismo de la instalación del software en los ministerios y entidades gubernamentales que ocupen este programa, por lo que los datos se encontrarían vulnerables desde hace varios años.
También apunta que, si bien recibió respuesta con cierto grado de interés por parte de los encargados, éstos lo habrían hecho sólo por cumplir.
Actualización (19:15 horas): el gobierno de Chile, mediante la Unidad de Modernización y Gobierno Electrónico del Ministerio Secretaría General de la Presidencia nos envía su postura.
