¿Cómo reportar anónimamente bugs a ministerios y entidades gubernamentales?

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
A parte del cirst donde prácticamente tengo que ingresar una cartola bancaria o poner info falsa, ¿por donde mas se pudiera reportar sobre bugs acerca de plataformas digitales del gobierno?

Pillé unos baches por ahí que permiten consultar info al estilo rutificador que se supone deberían estar validadas en backend, pero la realidad difiere. Es cosa de tiempo antes de que alguien las encuentre y fabrique los data-leakers para venta.

¿Alguna idea?

Gracias
 

Carlos E. Flores

Zombie
Miembro del Equipo
MOD
Se incorporó
17 Marzo 2005
Mensajes
28.526
Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Si no te dan pelota mándalo a transparencia.

Mañana averiguo el canal formal de reporte de brechas de seguridad y te cuento.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Me respondieron :naster, pensé que sería mas tardado, sobre todo por la hora, seguro el men del otro lado tiene art 22. Bue, tengo luz verde para buscar en todas las plataformas del gobierno.

A ver si construyo el data-leaker y lo mando con un vídeo pa que se tomen enserio todo. En una desas hago el leak y lo mando tambien je :lol
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.

La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.
Será de ahora, porque la última vez que revisé en sii, faltaban validaciones en backend... actualmente en términos de software, le pusieron color con la clave única, pero realmente al igual que nintendo, dejaron tirado todo el backoffice.

Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho... banco estado por ejemplo, te saca a la menor sospecha de ser un bot, y su app no te deja instalar tienes root en el tel, y el source viene ofuscado.
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho...
Pero igual ahí va más en politicas de quienes están a cargo que sacrifican seguridad por comodidad de usuario. Si cambias "nintendo" por "youtube" tienes el mismo texto sin perder sentido.

Antes de que salga alguien a rebatirme de que está mal, puta, yo no soy el que manda en alphabet/youtube para cambiar eso (personalmente, digo que me gustaría que tuviese esas validaciones, pero despues recuerdo que Directv me desactiva televisores por que miré feo a la app y me cuestiono que es mejor)
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Seguro que el presidente ve esas weas :plaf2

Reporta acá

Tal como menciona @dwyer , el procedimiento va por acá:


Ce2nkU7.jpg


aoHILoL.jpg




Actualmente no existe un SLA de tiempo de respuesta como si lo hay con consultas de transparencia (en que por ley deben contestarte en un número determinado de días), pero en lo administrativo los tipos del CSIRT le derivan el aviso al encargado de la institución que generalmente es una jefatura media-alta y éste debe hacerse responsable.

Según me cuentan acá, con la ley de cyberseguridad esto debería agilizarse y habría más presupuesto.
 
Se incorporó
3 Febrero 2010
Mensajes
104
Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.
 

rlx

Gold Member
Se incorporó
15 Diciembre 2008
Mensajes
4.016
Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.
Apoyo, Aduanas y Mercado Público estuvieron pal pico hace poco con ataques cibernéticos y sistemas caídos.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Un update. Hace unos días me llegó el acuso recibo de los correos, de ahí no supe mas. Mientras tanto, traten de no cargar sus datos personales en plataformas relacionadas a trámites en línea del gobierno, porque dichas plataformas ya tienen años creadas y si alguien mas llegó primero (que es lo usual), pudieran ustedes ser objeto de phishing dirigido, ya que datos como fecha de nacimiento, previsión, defunción y otros mas importantes van junto al rut, nombre, tel, email...

Algunas de las pantallas de actualización se ocultan con CSS, o eliminándolas manualmente con la consola del browser. Otras te obligan a ingresar datos con redirecciones.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Tengo el desagrado de comentar que ninguna de las weas que he reportado, han sido reparadas, ha pasado mas de un mes y los datos de todas las personas (incluyendome), están ahí esperando a ser recolectados por el web scraper hindú que le hace competencia al colega que trabaja desde Venezuela.

:megusta
 
Subir