Parablan

Fuga de información en el Fondo Nacional del Ahorro

Categoria: Hacking
Hector Alejandro Parada Blanco
2019-08-30

Primero lo primero, ¿Quién es el afectado? nada más y nada menos que el Fondo Nacional del Ahorro, la cual es una institución bancaria colombiana, para administrar las cesantías de los empleados públicos y trabajadores oficiales.

Así la cosa, navegando por la red de redes, encontré algo curioso buscando en Google la palabra "fondo en línea", ya que como resultados, Google me mostraba dos dominios distintos, el primero de ellos era fna.gov.co y el otro fondoenlinea.co.


Al entrar a fondoenlinea.co nos encontramos que el sitio no cuenta con certificado SSL, este simple hecho me llamo la atención, - como puede ser posible que un sitio que maneja datos tan sensibles como las cesantías de cientos o tal vez miles de personas en toda Colombia, no cuente con un certificado que te de confianza de compartir tu información confidencial con ellos -.

Analizando el sitio, encontré que no cuenta con una configuración apropiada de Apache o de implementación de archivos .htaccess, esto me permitió navegar tranquilamente por los directorios que componen fondoenlinea.co. Si modificamos un poco la URL por http://www.fondoenlinea.co/validadorFILE, el navegador nos regresará los directorios y archivos que se encuentran en esa dirección.

Si en este punto entramos al directorio Uploads, vemos como dicho directorio no está protegido, y nos muestra cada uno de los archivos que han sido subidos a esta plataforma (Información desde el año 2016).

Como se puede observar, la plataforma cambia el nombre del archivo subido por un hash como método de protección en el momento en que se cargan o crean archivos planos, en este punto podemos darle clic a cualquiera de ellos y ver el contenido sin ninguna restricción.

¿Pero que contienen estos archivos? Pues estos archivos contienen la información que reportan algunas empresas al fondo nacional del ahorro sobre los aportes a cesantías que realizan sus empleados, cada uno de los archivos tiene la misma estructura que corresponde a: NIT de la empresa que reporta, Cedula de ciudadanía del empleado, Apellidos y Nombres del empleado, Ciudad, Sueldo básico, Salario base, Aporte de cesantías mensuales, Año de aporte, Acumulado de cesantías, entre otros datos. Algunos de estos datos son “públicos”, pero otros no lo son o no deberían ser, como por ejemplo el salario del empleado, el aporte mensual y mucho menos el acumulado de cesantías.

En este punto no se está haciendo nada ilegal, ya que la información está abierta desde el sitio, por error o no, se puede automatizar la recolección de información mediante la técnica de programación Web Scraping, como lo hace Google u otras grandes compañías  para recolectar información en internet.

Automatizando un script Web Scraping podemos obtener la información más legible.


Y de esta forma, en segundos, recopilar cientos de datos confidenciales de ciudadanos que reportaron a esta plataforma.

Luego de explotar la vulnerabilidad provocada por una mala o nula configuración de acceso a los directorios, busque información de los dominios, encontrando algo curioso, como por ejemplo, el dominio fondoenlinea.co reposa en California Mountain View, este dominio registra fecha de creación en el año 2016, está bajo un servidor GNU/Linux versión CentOS y corre bajo las plataformas Apache 2.4.6 y PHP 5.4.16.


Ahora, buscando información de fna.gov.co, nos encontramos que es un dominio que reposa en Medellin Colombia, creado desde el año 1998 (Sin duda alguna este dominio es el real).

Esto nos indica que el fondo nacional del ahorro fue víctima de un ataque phishing durante tres años y que muchas empresas subieron información confidencial al sitio malicioso.

Luego de esto, me comuniqué con el Fondo Nacional del Ahorro, debo destacar que fue un proceso de casi tres horas, confieso que estuve a punto de no reportar la falla. Concretamente me comuniqué a la línea de soporte 307 7070, donde después de muchos intentos, me dijeron que estos casos relacionados con la seguridad informática de la compañia, se debían reportar a la línea 381 0150 en la extensión 6304. Cuando por fin pude hablar con el personal de sistemas de la compañía, les explique la situación al detalle y agradecieron por la información. Igualmente reporte este caso al CAI virtual de la policía nacional, debido a que se trata de una empresa pública.

 

 

---

Didier Martinez
2019-10-01

Que buena Alejo.

---

cO@sA
2019-09-24

A la fecha, el sitio fondoenlinea.co ha sido eliminado.

Deja un comentario
Tu correo electrónico no será publicado. Tu nombre, comentario y código
captcha son obligatorios.

Comentario *

Nombre *

Correo electrónico

Captcha *

Publicación	Fecha
Uso de variables en VBScript	2021-10-10
VBScript en 2021	2021-04-14
Moviendo objetos en JavaScript	2021-01-24
Inicio de sesión en PHP	2019-10-15

Publicación	Fecha
Reemplazando a root	2022-10-29
Cuidándonos de los rootkits	2019-10-02
Montando un servidor web en Linux Debian	2019-09-23
Instalando Linux Debian	2019-08-18

Publicación	Fecha
URL Manipulation Secretaria General Alcaldía ...	2020-02-14
La historia donde MasterCard, Visa y PayPal t ...	2020-01-23
Vulnerabilidad Path Traversal	2019-11-26
Fuga de información en el Fondo Nacional del ...	2019-08-30
Shoulder surfing o la técnica del disimulo	2019-08-21

Publicación	Fecha
Hello world	2019-08-13

Hector Alejandro Parada Blanco

Ingeniero de sistemas

Si deseas contactar con migo puedes escribirme al correo alejo1_3@hotmail.com, o sigueme en instagram y linkedin.

Adquiere mi libro Aprenda VBScript desde 0.0 2ª Edición en autoreseditores.

Un problema no tiene una única solución, tiene múltiples y encontrar la solución más óptima desemboca en arte y creatividad.