Filtración de información privada en AFIP
January 2, 2011
El viernes 31 de diciembre de 2010, aproximadamente 12 horas antes de estar un año mas cerca del futuro, accedo a mi cuenta de la AFIP con mi clave fiscal. Yo soy unas de las personas de las cuales la AFIP posee los datos biométricos como foto, firma, huellas dactilares, y también el DNI o documento escaneado que certifique identidad.Al ver mi foto y firma en la ficha, se me ocurrió indagar un poco más sobre la seguridad de mi información accesible desde Internet.
En un par de minutos, logré ver foto y firma de un total extraño, buscando un nombre al azar. Mas tarde, descubrí también que es posible acceder al DNI escaneado (el cual no aparece en la ficha personal) y que no es necesario acceder con clave fiscal (es decir, cualquier persona del mundo con acceso a internet, puede acceder sin mayores complicaciones), lo que no pude encontrar son las huellas dactilares.
En este momento estoy enviando un correo a la AFIP para que solucionen el asunto, y mientras retiren mi información y la de todos los ciudadanos afectados, una vez solucionado el inconveniente, publicaré en detalle la sencilla falla de seguridad mencionada.
Les recomiendo tomar las medidas que crean correspondientes si se ven obligados a realizar algún trámite en AFIP y les requieren sus datos biométricos.
Resulta aún mas preocupante al ser obligatorio el reempadronamiento a los contribuyentes con CUIT durante el 2010 (Ah, Feliz año nuevo!), según leí en Clarín y La Nación al profundizar en el tema.
http://www.clarin.com/politica/CUIT-foto-huellas-dactilares_0_270572979.html
http://www.lanacion.com.ar/nota.asp?nota_id=1200777
http://www.fabio.com.ar/verpost.php?id_noticia=4249&utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+Fabiocomar+(Fabio.com.ar)
¿Alguno de ustedes ya subió sus datos biométricos en la AFIP? ¿Firma, DNI escaneado, huellas dactilares y una foto? pues bien, hasta hace un día toda esa información la podía acceder cualquiera y gracias a un amigo de la casa, Fernando (a.k.a. Cypher) lo arreglaron rápido.
No escribo mucho sobre hacking aquí pero esto nos involucra a todos, resulta que la AFIP desde mayo de 2010 hizo obligatorio estos datos en el reempadronamiento anual del monotributo, no hay una razón coherente para tener hasta mi huella dactilar, pero que esos datos los pueda acceder cualquiera es un regalo para los estafadores.
Es simple, podían obtener una copia digitalizada de tu firma, hasta la copia del DNI, armar contratos, contratar servicios, lo que fuere.
El error era bastante simple, entró a ver sus propios datos y se fijó en la url que cargaba la foto, básicamente era así:
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=xxxxxxxxxx&tipo=x
Es decir, pasaba como parámetros el CUIT y el tipo de documento a mostrar (foto, firma, dni, etc.), ahora bien, simplemente cambiando por el CUIT de cualquier otro se mostraban los datos. Les recuerdo, esto funcionó así hasta ayer!
Fernando obviamente vio comprometidos sus datos, de hecho, yo mismo probé con los suyos y pude ingresar a ver sus datos sin siquiera estar logueado con mi clave fiscal ¡cualquiera desde afuera podía!
No había encripción (por más https, eso sólo sirve para crear un canal seguro entre cliente y servidor), no había control de sesiones (básico al programar cualquier web con login de usuario) y el recupero de datos no consultaba si el solicitante era el indicado ¡todo mal hecho!
No soy un gran programador, pero al hacer el PostRev obviamente lo primero que te tratan de hacer es hackear y acceder con permisos de administrador, es básico, que los programadores de la AFIP no lo tengan en cuenta es grave.
Pero hubo una buena noticia aquí, apenas envió el mail indicándole el problema, esto fue el domingo, el lunes mismo lo habían modificado!
Ahora utilizando cifrado PKCS lo que es un alivio porque ahora los parámetros se pasan de otra forma, igualmente, sigue sin haber control de sesión ni usuario coherente.
Palabras incumplidas parcialmente de Etchegaray: "Esto estará protegido por el secreto fiscal; es la tendencia de otros países de la región y desarrollados. Además, evitará que otra persona diferente del titular del CUIT pueda utilizar esa clave", señaló ante una pregunta de LA NACION.
No estuvo protegido por ningún secreto, hasta ayer fueron datos públicos
El bug fue cubierto parcialmente, esto significa que apenas hay una pequeña contingencia, pero cualquiera que tuvo que utilizar los sistemas de la AFIP vía web sabe que hay problemas por todos lados. Nada está unificado, todo parece estar hecho por gente que no sabe nada de internet y poco de programación y nada está conectado entre sí.
Traten de seguir una lógica y no lo van a encontrar en el site de la AFIP que, para colmo, la mitad de las cosas ni se explican para que son o como usarlas. Traten siquiera de cambiar algún dato que tengan dado de alta y no podrán, dar de alta es fácil, modificar... ah... eso es para otra administración parece :P
Por lo pronto ahora al menos se que cuando actualice mis datos habrá un filtro más para que otros lo usen, pero temo más huecos por venir, ¡y eso que quiero pagar mis impuestos!
Para más detalles les recomiendo leer los dos artículos de Fernando: Filtración de información privada en AFIPy Arreglado el problema de seguridad en AFIP
