[HACK] Boquetes en gencat

[merce at grn.es]

18:40 09/10/02


EXPEDIENTES  DE  BENESTAR SOCIAL, AL DESCUBIERTO CON NOMBRES Y DNIs EN
LA WEB DE LA GENERALITAT

Un  grupo de hackers hace públicos graves errores en los servidores de
www.gencat.es, que permiten leer, borrar y añadir nuevos contenidos

Mercè Molist
"Toda su red está tan mal configurada que se ha convertido en una mofa
en lo que a seguridad y confidencialidad se refiere", asegura el grupo
Pokemon  H at ck  Team  en  una  carta  enviada  al  administrador de los
servidores  informáticos de la Generalitat de Catalunya. Al no recibir
respuesta,  los  hackers  han  publicado  la carta en una web, junto a
capturas de pantalla con la información obtenida en sus incursiones.

Destacan,  en  el botín, expedientes de la Comissió Interdepartamental
de  la Renda Mínima d'Inserció del Departament de Benestar Social, con
nombres, DNIs, NIFs, direcciones, fechas de nacimiento, estado civil o
problemáticas  de  los  afectados,  como  transtornos  mentales      o
económicos.  Además,  según denuncian los 'hackers', los servidores de
gencat.es  se  usan  desde  hace tiempo por todo tipo de intrusos como
punto  intermedio  para  ataques  a  otras  máquinas,  a fin de no ser
detectados.

Estos  curiosos,  en  gran  número según el grupo 'hacker', aprovechan
"serios  fallos  de  configuración"  que permiten leer, borrar y subir
nuevos   contenidos   a   las   máquinas.   Entre  ellos,  destaca  el
archiconocido  -en  ámbitos  informáticos-  fallo  del Unicode, que da
acceso  a  partes  del  servidor  que  deberían  estar  cerradas, o la
vulnerabilidad  RDS  MSADC,  que  da el control total del servidor web
para  cambiar  noticias,  discursos  y otras informaciones que allí se
publiquen.

Pero  las  deficiencias  más  graves  se encuentran en las máquinas de
Benestar  Social,  donde  los  hackers  han  accedido fácilmente a los
nombres  de  sus usuarios y contraseñas, que llevan directamente a los
expedientes  de personas que aparecen con nombres, DNIs, direcciones y
todo  tipo  de datos. Lo que les lleva a afirmar: "Lo más peligroso de
la  red  de redes es el delito que las propias instituciones cometen a
diario:  la  falta  de  protección  de los datos de sus ciudadanos. No
resguardan  la  intimidad,  no  defienden  los documentos, pero eso no
importa, siempre pueden echar la culpa a los 'malvados hackers'".

Precisamente,  según  fuentes  del  departamento  de Presidència de la
Generalitat,  "se  ha  puesto el caso en conocimiento de la brigada de
delitos informáticos de los Mossos d'Esquadra. Además, los datos a los
que  se  ha tenido acceso no son de relevancia, solo listados de nivel
interno.   Simplemente,   han  querido  buscar  notoriedad.  Desde  la
Generalitat  se  han tomado ya medidas para que no vuelva a pasar y se
han cerrado los accesos".

En    la    página    web    creada    para    denunciar    el   caso,
http://www.kamasutrababes.com/pokehack.htm,   el  grupo  de  'hackers'
critica  también:  "Tanto hablar de la Ley de Servicios de la Sociedad
de  la  Información,  de  cuidar  de la seguridad en Internet y luego,
cuando  se  escarba  un  poco,  uno  se  encuentra  con que sin apenas
esfuerzo  mental  puede  llegar  a  los  datos  de cualquier ciudadano
tocando  una  tecla.  Por eso es por lo que escribimos este documento,
para  pedirle al gobierno y las empresas que cierren estos agujeros de
seguridad".

Autodenominándose  "hacktivistas" y criticando repetidamente la Ley de
Servicios  de  la  Sociedad  de la Información, que el sábado entra en
vigor, el hasta ahora desconocido Pokemon H at ck Team aprovecha también,
en  su  carta  al  administrador  de gencat.es, para defender el honor
'hacker':  "Aquí  dentro,  en el mítico mundo del chip y del electrón,
somos  los  que defendemos los derechos de los demás, somos nosotros y
no los gobiernos quienes luchan contra la pederastia y por la libertad
de expresión".