¿Cómo reportar anónimamente bugs a ministerios y entidades gubernamentales?

freishner · 16 Enero 2024

A parte del cirst donde prácticamente tengo que ingresar una cartola bancaria o poner info falsa, ¿por donde mas se pudiera reportar sobre bugs acerca de plataformas digitales del gobierno?

Pillé unos baches por ahí que permiten consultar info al estilo rutificador que se supone deberían estar validadas en backend, pero la realidad difiere. Es cosa de tiempo antes de que alguien las encuentre y fabrique los data-leakers para venta.

¿Alguna idea?

Gracias

TheFuchsen · 16 Enero 2024

Contáctanos

digital.gob.cl

freishner · 16 Enero 2024

TheFuchsen dijo:
Contáctanos

digital.gob.cl

Luego comento como me fué. Si no pasa nada, voy a etiquetar a mr merluzo con capturas en twitter y luego reenviaré todo a algún canal de turno para que se entretengan en los matinales. Me voy a reir cuando la karen y el neme hagan una mofa de la wea...

dwyer · 16 Enero 2024

Seguro que el presidente ve esas weas :plaf2

Reporta acá

CSIRT de Gobierno -

Sitio web oficial del CSIRT del Gobierno de Chile

www.csirt.gob.cl

Carlos E. Flores · 16 Enero 2024

Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.

Zuljin · 17 Enero 2024

Si no te dan pelota mándalo a transparencia.

Mañana averiguo el canal formal de reporte de brechas de seguridad y te cuento.

freishner · 17 Enero 2024

Me respondieron :naster

, pensé que sería mas tardado, sobre todo por la hora, seguro el men del otro lado tiene art 22. Bue, tengo luz verde para buscar en todas las plataformas del gobierno.

A ver si construyo el data-leaker y lo mando con un vídeo pa que se tomen enserio todo. En una desas hago el leak y lo mando tambien je :lol

Zuljin · 17 Enero 2024

Carlos E. Flores dijo:
Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.

La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.

freishner · 17 Enero 2024

Zuljin dijo:
La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.

Será de ahora, porque la última vez que revisé en sii, faltaban validaciones en backend... actualmente en términos de software, le pusieron color con la clave única, pero realmente al igual que nintendo, dejaron tirado todo el backoffice.

Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho... banco estado por ejemplo, te saca a la menor sospecha de ser un bot, y su app no te deja instalar tienes root en el tel, y el source viene ofuscado.

clusten · 17 Enero 2024

freishner dijo:
Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho...

Pero igual ahí va más en politicas de quienes están a cargo que sacrifican seguridad por comodidad de usuario. Si cambias "nintendo" por "youtube" tienes el mismo texto sin perder sentido.

Antes de que salga alguien a rebatirme de que está mal, puta, yo no soy el que manda en alphabet/youtube para cambiar eso (personalmente, digo que me gustaría que tuviese esas validaciones, pero despues recuerdo que Directv me desactiva televisores por que miré feo a la app y me cuestiono que es mejor)

Zuljin · 17 Enero 2024

dwyer dijo:
Seguro que el presidente ve esas weas

Reporta acá

CSIRT de Gobierno -

Sitio web oficial del CSIRT del Gobierno de Chile

www.csirt.gob.cl

Tal como menciona @dwyer , el procedimiento va por acá:

CSIRT de Gobierno -

Sitio web oficial del CSIRT del Gobierno de Chile

www.csirt.gob.cl

Actualmente no existe un SLA de tiempo de respuesta como si lo hay con consultas de transparencia (en que por ley deben contestarte en un número determinado de días), pero en lo administrativo los tipos del CSIRT le derivan el aviso al encargado de la institución que generalmente es una jefatura media-alta y éste debe hacerse responsable.

Según me cuentan acá, con la ley de cyberseguridad esto debería agilizarse y habría más presupuesto.

Oskianotsner · 17 Enero 2024

Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.

rlx · 17 Enero 2024

Oskianotsner dijo:
Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.

Apoyo, Aduanas y Mercado Público estuvieron pal pico hace poco con ataques cibernéticos y sistemas caídos.

freishner · 23 Enero 2024

Un update. Hace unos días me llegó el acuso recibo de los correos, de ahí no supe mas. Mientras tanto, traten de no cargar sus datos personales en plataformas relacionadas a trámites en línea del gobierno, porque dichas plataformas ya tienen años creadas y si alguien mas llegó primero (que es lo usual), pudieran ustedes ser objeto de phishing dirigido, ya que datos como fecha de nacimiento, previsión, defunción y otros mas importantes van junto al rut, nombre, tel, email...

Algunas de las pantallas de actualización se ocultan con CSS, o eliminándolas manualmente con la consola del browser. Otras te obligan a ingresar datos con redirecciones.

freishner · 6 Marzo 2024

Tengo el desagrado de comentar que ninguna de las weas que he reportado, han sido reparadas, ha pasado mas de un mes y los datos de todas las personas (incluyendome), están ahí esperando a ser recolectados por el web scraper hindú que le hace competencia al colega que trabaja desde Venezuela.

:megusta

unreal4u · 6 Marzo 2024

y dp se preguntan pq les llega un correo supuestamente del SII con número de rut y nombre correspondiente...

¿Cómo reportar anónimamente bugs a ministerios y entidades gubernamentales?

freishner

Capo

TheFuchsen

Campeón del Fotoshó

Contáctanos

freishner

Capo

Contáctanos

dwyer

Sonidista-Computin

CSIRT de Gobierno -

Carlos E. Flores

Zombie

Zuljin

Fundador

freishner

Capo

Zuljin

Fundador

freishner

Capo

clusten

ADMIN

Zuljin

Fundador

CSIRT de Gobierno -

CSIRT de Gobierno -

Oskianotsner

Capo

rlx

Gold Member

freishner

Capo

freishner

Capo

unreal4u

I solve problems.