INVESTIGACIÓN: AGUJERO DE SEGURIDAD EN LA NUEVA WEB DEL CONCELLO DE PONTEVEDRA

Pontenet es el proyecto de modernización administrativa del Concello de Pontevedra que cuenta con un presupuesto global de 365.707 euros cofinanciado entre el Ayuntamiento de Pontevedra y el Ministerio de Administraciones Públicas, que aporta una subvención del 50 por ciento.

Se busca mecanizar la gestión de expedientes y la implantación de un portal de administración electrónica, dotando al Concello de un servicio de e-administración, de forma que se simplificará los trámites diarios de los ciudadanos de Pontevedra en las relaciones con el Concello.

En lo referido al portal se implantará una plataforma telemática que actuará de portal de Internet del Concello de Pontevedra, permitiendo la solicitud y entrega de documentación, la consulta de la situación de los expedientes, la recepción de notificaciones electrónicas y la tramitación de pagos.

Desde hoy mismo se puede acceder a la nueva web del concello
http://www.concellopontevedra.es/ que todavía no está terminada, pero en donde se ha dejado abierto el acceso a toda la configuración del sistema.
Cualquiera con conocimientos avanzados de informática puede acceder a la configuración y cargarse un trabajo de muchos meses al disponer de todo lo necesario para acceder al sistema.

Se trata de un error de extrema gravedad que no debe pasar inadvertido y sin responsabilidades. Le he enviado correo a la prensa local porque el alcance del mismo ya se me escapa de mi comprensión. En manos de quien estamos.

25 comentarios:

Anónimo dijo...

¿Puedes entrar en las carpetas o modificar archivos?

Sísar dijo...

puedes hacer lo que quieras ya que tienes acceso a todo el código Mos. Hay que saber el lenguaje, eso sí.

Anónimo dijo...

No, no... yo te pregunto si puedes entrar en las carpetas y modificar los archivos, no si puedes leer su contenido, es decir, entro en \imagenes -> hay fotos -> las modifico, porque no me lo creo.
Además, ¿estos archivos y carpetas son los de la web?
¿Seguro?

Sísar dijo...

No soy un experto en informática Mos, pero con el ingeniero con el que he hablado me ha asegurado que con esa información se puede acceder a cualquier documento que sea utilizado por el sistema.

Anónimo dijo...

http://breaseixo.wordpress.com

Sísar dijo...

Se nota que es muy conocedor de mi persona y que sabe que soy da Brea, Seixo. Le dedicaré un post a su blog a su debido tiempo. Y póngase un nick mujer!

Unha aperta

Anónimo dijo...

Desde luego yo no dejaría a la vista esas carpetas, pero diría que si no puedes entrar en el ftp no puedes modificar nada.

maqui dijo...

Esto ya es el colmo, llevó "moviendome" algún tiempo denunciando ante el concello de lo penosa que era su anterior página, pues esta además de ser poco operativa, porque todavía no se puede hacer ningún tramite administrativo,ahora esto, no hay por donde cojerlos.

Anónimo dijo...

Sin haberme puesto a trastear demasiado, a priori no me parece tan tan grave. Si el ftp está protegido no puedes modificar nada, y a menos que en uno de los archivos se hayan dejado el usuario y el password...
De todas formas espero que te hayas puesto en contacto con el administrador de la web (webmaster@pontevedra.eu) ANTES de haberte puesto en contacto con la prensa.

Sísar dijo...

Aun lo volví a comentar hoy con gente que sabe de esto. Con la información que hay ahí cualquier pequeño hacker puede cargarse todo el trabajo realizado.

Anónimo dijo...

Sigo diciendo que no es tan fácil.
¿Se lo has comunicado al responsable de la web?

Sísar dijo...

Directamente yo no, Mos.

Anónimo dijo...

"Se trata de un error de extrema gravedad que no debe pasar inadvertido y sin responsabilidades. Le he enviado correo a la prensa local porque el alcance del mismo ya se me escapa de mi comprensión".
Tu solución a un error taaan grave es avisar a la prensa y no al administrador. Eres un irresponsable.
Ha sido una cagadita, estoy de acuerdo, pero bastante habitual. Además no lleva mucho tiempo solventarlo, siempre que te hayas dado cuenta.
Si un pequeño hacker (¿qué es un pequeño hacker?) cambia algo en la página, se restaura y listo, que de esto también se hacen copias de seguridad; no vas a perder toda la inversión ni tienes que empezar de nuevo.

Sísar dijo...

Yo hago denuncia ciudadana y así lo haré siempre. Este error no puede pasar inadvertido y por eso lo he hecho. He de decir que a mí me llamaron a informarme de la situación así que a saber cuanta gente se ha hecho ya con toda la configuración del sistema.

El alcance llega hasta el punto de que si conoces el sistema puedes entrar cuando quieras y acceder a todos los documentos privados de los ciudadanos.

El responsable de las webs municipales es persona muy conocida y hombre de confianza de Lores que lo ha incluido entre sus colaboradores.

Por mi parte no pienso pasar ni una más a este bipartito unido por el interés propio y no por Pontevedra.

Anónimo dijo...

Por cierto, ya está corregido.

Sísar dijo...

Ya sé, pero la foto queda ahí de prueba. Gracias por comentar Mos.

Anónimo dijo...

¡Ojo! Que puedas entrar y listar los directorios de la página no quiere decir que tengas acceso a las bases de datos.

Anónimo dijo...

Me da que una vez más, nuestro intrépido a la par que objetivo "investigador" nos relata una dantesca situación que ocurre en el infame concello de Pontevedra por culpa del pérfido gobierno bipartito que padecemos...
Joder Abal! siempre tan tremendista..
Por otra parte completamente de acuerdo con Mos, si lo que te preocupa es arreglarlo debieras haberte puesto en contacto con el administrador, a no ser que... tu única pretensión fuese tocar las pelotas...

Anónimo dijo...

Yo creo que la seguridad de los datos del pueblo pontevedrés te la suda. Te has frotado las manos cuando has visto que se podía sacar rentabilidad política de ésta chorrada, y el hecho de llamar primero a los medios lo demuestra. Creo yo, desde mi humilde opinión.

Anónimo dijo...

Dejar ver el código es dar pistas de como reventarlo. Yo creo que es un fallo de seguridad muy muy gordo. La web se supone que estará conectada con el sistema de gestión interno (padrón, recaudación, etc), no?

No entiendo qué carajo hacen en el concello, llevan años y años haciendo mierdadas con la web. Una ciudad como Pontevedra no se lo merece. Los socios de gobierno del BNG suelen cuidar mucho esto en los concellos donde gobiernan, que metan caña.

Mexan por nos....

maqui dijo...

Una cosa está clara que desde el Concello debieran prestar más atención a pequeños fallos de este tipo que lo unico que hacen es hacer dudar al contribuyente de la importancia de la "e-administración" ya implementada en varios concellos gallegos.
Desde mi humilde opinión y no solo el bipartito sino la oposición también,no le dan la suficiente importancia que verdaderamente tiene hoy dia las "nuevas tecnologías" es el caso también de lo del wifi en la zona vieja, Señores no hagan el trabajo a medias, ya que todavía a día de hoy no se puede realizar ninguna gestión electronica, y seguimos sin wifi.

Anónimo dijo...

persoalmente concordo có dito aqui en varios comentarios, Sísar, penso que o primeiro que tiñas que ter feito era avisar ao concello ou mesmo ao webmaster responsable páxina e non ao medios, non quero ser duro, pero ás veces semella que pretendes machacar ao concello de Pontevedra con calqueira nimiedade, ollo !! que non digo que isto sexa "pecata minuta" pero teria sido máis profesional e honrado ter avisado ao propio responsable da web, e logo se nuns dias non estba resolto facerlle publicidade nos xornais ou onde penses que é preciso...por suposto que é unha opinión persoal e sen ningunha maldade

Un saúdo e non estaria de máis colabourar un pouco máis, que o Concello é de todos, hoxe do BNG-PSDG e mañá será (quén sabe) do Partido Popular, e tampouco supoño que che gostaria que machacasen a Telmo Martin por todo, e cando digo por todo e por calqueira chorradiña.

Anónimo dijo...

Unha vez mais o Sr.Abal volta a confundir o ben cidadan coa sua traxectoria politica... e unha bagoa

Sísar dijo...

Cuando yo hago este post los responsables ya sabían del agujero y de la chapuza que habían hecho.

Solo envíe a la prensa el link sin nada más para que ellos supieran como gestionarlo, si quiere hacer daño tener por seguro que hay muchas otras maneras.

Cuantos escritos debo llevar al Concello, cinco, seis? Ni una sola respuesta, ni una. Por cierto una hace ya dos años con unas 50 firmas. Cuando te responden tus representantes de esta manera solo queda esto que estoy haciendo. Luego podréis estar de acuerdo o no, pero los hechos los conocerá todo el mundo para que luego puedan juzgar.

Lo que dice Maqui de Wi-fi es otra chapuza más como bien expliqué aquí en varios posts sucesivos.

En un pleno de hace dos meses a una pregunta del concejal Jacobo Moreira por el retraso acumulado de la web (la peor catalogada de España según un estudio de El País) intervino Lores mofándose y le hizo responder a Jacobo cuantas semanas tiene un año (dijo 52, yo no le hubiera respondido a semejante caradura) para justificar cuando había dicho que estaría operativa en "unas semanas" en el Pleno de Diciembre.

Esa soberbia con la que responden a las preguntas de la oposición me envalentonan y esto es lo único que tengo para denunciarlo. Por cierto que ese último Pleno que se trató el asunto de la web se afirmó que era inminente su puesta al día.

He aquí el resultado. Por lo menos hay que ser humilde y no mentir a los ciudadanos.

Primero pudo haber sido el webmaster pero no hubo aviso a la oposición ni a nadie de su puesta en funcionamiento. Yo entendí que esta era la mejor manera de denunciarlo.

Gracias por vuestras aportaciones.

Anónimo dijo...
Este comentario ha sido eliminado por un administrador del blog.