Parablan

Hector Alejandro Parada Blanco


Fuga de información en el Fondo Nacional del Ahorro

Categoria: Hacking
Hector Alejandro Parada Blanco
2019-08-30

Primero lo primero, ¿Quién es el afectado? nada más y nada menos que el Fondo Nacional del Ahorro, la cual es una institución bancaria colombiana, para administrar las cesantías de los empleados públicos y trabajadores oficiales.

Así la cosa, navegando por la red de redes, encontré algo curioso buscando en Google la palabra "fondo en línea", ya que como resultados, Google me mostraba dos dominios distintos, el primero de ellos era fna.gov.co y el otro fondoenlinea.co.

busqueda
Al entrar a fondoenlinea.co nos encontramos que el sitio no cuenta con certificado SSL, este simple hecho me llamo la atención, - como puede ser posible que un sitio que maneja datos tan sensibles como las cesantías de cientos o tal vez miles de personas en toda Colombia, no cuente con un certificado que te de confianza de compartir tu información confidencial con ellos -.

sitio
Analizando el sitio, encontré que no cuenta con una configuración apropiada de Apache o de implementación de archivos .htaccess, esto me permitió navegar tranquilamente por los directorios que componen fondoenlinea.co. Si modificamos un poco la URL por http://www.fondoenlinea.co/validadorFILE, el navegador nos regresará los directorios y archivos que se encuentran en esa dirección.

directoriosSi en este punto entramos al directorio Uploads, vemos como dicho directorio no está protegido, y nos muestra cada uno de los archivos que han sido subidos a esta plataforma (Información desde el año 2016).

archivos
Como se puede observar, la plataforma cambia el nombre del archivo subido por un hash como método de protección en el momento en que se cargan o crean archivos planos, en este punto podemos darle clic a cualquiera de ellos y ver el contenido sin ninguna restricción.

consulta
¿Pero que contienen estos archivos? Pues estos archivos contienen la información que reportan algunas empresas al fondo nacional del ahorro sobre los aportes a cesantías que realizan sus empleados, cada uno de los archivos tiene la misma estructura que corresponde a: NIT de la empresa que reporta, Cedula de ciudadanía del empleado, Apellidos y Nombres del empleado, Ciudad, Sueldo básico, Salario base, Aporte de cesantías mensuales, Año de aporte, Acumulado de cesantías, entre otros datos. Algunos de estos datos son “públicos”, pero otros no lo son o no deberían ser, como por ejemplo el salario del empleado, el aporte mensual y mucho menos el acumulado de cesantías.

En este punto no se está haciendo nada ilegal, ya que la información está abierta desde el sitio, por error o no, se puede automatizar la recolección de información mediante la técnica de programación Web Scraping, como lo hace Google u otras grandes compañías  para recolectar información en internet.

Automatizando un script Web Scraping podemos obtener la información más legible.

web scraping
Y de esta forma, en segundos, recopilar cientos de datos confidenciales de ciudadanos que reportaron a esta plataforma.

Luego de explotar la vulnerabilidad provocada por una mala o nula configuración de acceso a los directorios, busque información de los dominios, encontrando algo curioso, como por ejemplo, el dominio fondoenlinea.co reposa en California Mountain View, este dominio registra fecha de creación en el año 2016, está bajo un servidor GNU/Linux versión CentOS y corre bajo las plataformas Apache 2.4.6 y PHP 5.4.16.

verificacion_fondoenlinea
Ahora, buscando información de fna.gov.co, nos encontramos que es un dominio que reposa en Medellin Colombia, creado desde el año 1998 (Sin duda alguna este dominio es el real).

verificacion_fna
Esto nos indica que el fondo nacional del ahorro fue víctima de un ataque phishing durante tres años y que muchas empresas subieron información confidencial al sitio malicioso.

Luego de esto, me comuniqué con el Fondo Nacional del Ahorro, debo destacar que fue un proceso de casi tres horas, confieso que estuve a punto de no reportar la falla. Concretamente me comuniqué a la línea de soporte 307 7070, donde después de muchos intentos, me dijeron que estos casos relacionados con la seguridad informática de la compañia, se debían reportar a la línea 381 0150 en la extensión 6304. Cuando por fin pude hablar con el personal de sistemas de la compañía, les explique la situación al detalle y agradecieron por la información. Igualmente reporte este caso al CAI virtual de la policía nacional, debido a que se trata de una empresa pública.

 

 




Didier Martinez
2019-10-01

Que buena Alejo.


cO@sA
2019-09-24

A la fecha, el sitio fondoenlinea.co ha sido eliminado.



Deja un comentario
Tu correo electrónico no será publicado. Tu nombre, comentario y código
captcha son obligatorios.


Comentario *
Nombre *
Correo electrónico

Captcha *