Un ayuntamiento de la costa Mediterránea no paraliza la campaña de bonos consumo conociendo los errores de seguridad. Bonos de 20, 50, 100 y 200 euros, subvencionados al 50% para los vecinos que han sido canjeados por los mismos para gastar en los comercios de proximidad local: hostelería, tiendas de ropa, librerías, ferreterías, mercerías y un largo etcétera, adheridos a la campaña.

La segunda campaña de bonos consumo arranca y termina con fallos de seguridad por parte de la empresa que gestionaba el servicio donde han quedado al descubierto datos personales de los ciudadanos y de las empresas que participaron en la misma campaña de bonos consumo. Una brecha de seguridad de la plataforma web https://www.bonos******.com que exponía errores desde el inicio de la campaña.

Uno de los primeros fallos de seguridad fue en la compra de los bonos. Cuando un ciudadano compraba alguno de los bonos la página web, le redirigía al bono comprado correspondiente con la URL Ejemplo: https://www.bonos********.com/web/pdf_bonos/bono_1_1.pdf y simplemente con eliminar bono_1_1.pdf (el bono adquirido), se podía acceder al resto de los bonos de otros compradores y descargarlos.

Index of /web/pdf_bonos

Con la técnica de Google Dork, que simplemente es una búsqueda que utiliza una o más técnicas avanzadas de búsqueda, se podía revelar información de la web. Es importante tener en cuenta que cualquiera puede rastrear una página web utilizando ciertos parámetros con la técnica de Google Dork. En este caso se podía ver información indexada en Google automáticamente de la web https://www.bonos******.com, así́ como la web de los bonos anteriores, datos de los comercios, facturas, datos fiscales de las empresas, etc.

seguridad

Uno de los resultados que se podría obtener con la técnica Google Dork eran los usuarios (e-mail) y la contraseña (código de comercio). Accediendo al resultado indexado por Google mostraba todos los usuarios y contraseñas de todos los establecimientos adheridos a la campaña de bonos, pudiendo acceder al panel de control de estos y modificar los tiques que posteriormente sería el justificante de los comercios para justificar las ventas adheridas a los bonos.

Alrededor de tres semanas después, un segundo fallo de seguridad se suma a la página web, exponiendo todos los tiques y facturas de los clientes, que habían comprado en los comercios adheridos a la campaña. También una vez más, la información estaba indexada en Google como en los bonos, en este caso también se podía acceder al resto de tiques y facturas de todos los compradores.

Index of /********/files/tickets_comercios

Con la segunda brecha de seguridad, también se expusieron todos los datos de carácter privado de las empresas adheridos a la campaña de bonos consumo. Se entiende que por la información expuesta y las siguientes siglas IAE corresponden a (Impuesto sobre Actividades Económicas)

Index of /web/iae

Explorando un poco más a fondo en la web https://www.bonos******.com, utilizando la opción del navegador “ver el código fuente” se podía observar que había partes del código fuente de la página web comentadas para que no sean mostradas en la misma. Haciendo referencia a otros ayuntamientos (Ayuntamiento de ******) que no correspondía con el afectado en cuestión. Lo que nos puede dar ciertas sospechas de que esta web ha podido ser reutilizada, y esto conlleva que otros ayuntamientos que han puesto en marcha la campaña bonos consumo también han podido ser expuestos en este gran fallo de seguridad.

Este fallo de seguridad casi se podría resumir en la falta de cuidado por parte de la empresa que gestionó dicho servicio web ya que la protección de directorios es uno de los pasos básicos en la construcción de una página web. Una de las soluciones en estos casos son las redirecciones, entre otras que, además, son fáciles de añadir.

Según fuentes oficiales, el ayuntamiento, siendo conocedor del primer fallo de seguridad que fue reportado por un grupo político de la oposición, no tomó las medidas correspondientes para evitar el segundo fallo de seguridad. Al parecer, el ayuntamiento afectado tampoco informó de los fallos de seguridad a los comercios y vecinos participantes de la campaña de bonos consumo. En la actualidad, la AEPD (Agencia Española de Protección de Datos), está investigando lo ocurrido para esclarecer el alcance de afectación del fallo de seguridad.