Después de que algunos abogados lo
detectaran y lo reportaran, y tras varias mentiras por parte de LexNET,
finalmente la compañía lo admitió y detuvo la plataforma para poder solucionar
el fallo de seguridad.
Para acceder a la plataforma es
necesario identificarse utilizando un certificado digital y una firma
electrónica almacenada dentro de una tarjeta criptográfica. La seguridad, en
este aspecto, es elevada. Sin embargo, una vez autenticado en el sistema, cada
usuario tiene su área privada asociado a una simple URL, concretamente a un
simple parámetro de la misma. Para el colmo, tras la última actualización del
sistema, si un usuario cambia dicho parámetro por el ID de otro usuario de la
plataforma, puede acceder a absolutamente todo su contenido, desde la bandeja
de entrada hasta los documentos más confidenciales. Un fallo absurdo, estúpido
y que hubiera sido detectado en las primeras fases de una auditoría de
seguridad.
Frente al aviso del posible fallo en #LexNET, estamos
revisándolo. Os mantendremos informados @SGJusticia
— LexNET Justicia (@lexnetjusticia) July 27, 2017
Varias horas más tarde de duro
trabajo, la vulnerabilidad fue resuelta y el sistema y toda su información
volvía a ser segura. ¿de verdad se lo creyeron?
600 MB de datos
robados a LexNet: Documentos privados, certificados, código fuente, etc
Como hemos dicho, los responsables del
mantenimiento de LexNet detectaron y solucionaron el problema de seguridad,
volviendo a convertir esta plataforma en un lugar seguro y privado. Y esto no
lo negamos, pero la solución llegó demasiado tarde.
El Confidencial informaba que el
Ministerio de Justicia había confirmado el filtrado de más de 600 MB de datos
de la plataforma. Entre estos datos se encuentran, por ejemplo, más de 11.000
documentos secretos sobre casos judiciales, certificados de los usuarios y,
además, una gran parte del código fuente de la plataforma. El acceso no
autorizado fue detectado igualmente el pasado 28 de julio, tras lo cual los
técnicos de Justicia empezaron a borrar los archivos del servidor.
Estos datos, independientemente de la
importancia de los documentos judiciales (que no es poca, precisamente),
permiten conocer al detalle cómo funciona la plataforma y la expone a que
cualquiera pueda auditar la seguridad y explotar posibles fallos de seguridad
aún desconocidos y ocultos en el código. Además, se ha expuesto la arquitectura
de la plataforma Orfila (incluido un
“Manual de Explotación Orfila” para uso interno), el sistema que se encarga de
conectar tribunales, juzgados, fiscalías con todo el sistema de sanidad en
España.
Dentro de Orfila es posible encontrar
información sensible sobre violaciones, maltrato, abusos o cualquier prueba
médica o autopsia realizada a cualquier paciente. Todos estos datos, además,
han sido descargados desde un servidor del Estado, servidor que ni siquiera
pedía autenticación.
"En fin, así es LexNet, así es la Justicia y así hace las cosas el Gobierno de España".
Fuente: Redeszone.net