La Generalitat deja al descubierto datos personales de la población

Netzach

Expone a fraude a cinco millones de personas al difundir en Internet los últimos 5 dígitos del DNI y la letra, la fecha de nacimiento, el código postal y el colegio donde votar

Tal y como algunos usuarios avisamos, el censo universal trae consecuencias.

Según han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El foro especializado Hacker News ha sido el primero en informar de este grave fallo de seguridad.

El protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una única fuente de información, tal y como adelantó EL PAÍS el pasado 28 de septiembre. “Es un sistema P2P —entre usuarios— que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de Ethereum Madrid. “El contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro”. En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.


El foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas sería fácilmente descifrable sin necesidad de contar con potentes equipos. El profesional informático Sergio López ha probado él mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.

En el twitter del tal Sergio Lopez se puede leer toda su aventura.

Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque esté cifrada. Una parte enorme de la clave es predecible: cualquier puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta

https://elpais.com/tecnologia/2017/10/05/actualidad/1507196018_140173.html

http://klondike.es/klog/2017/09/25/descifrando-las-bases-de-datos-del-referendum-catalan/

https://twitter.com/klon/status/913892255156592640

El tal klondike también cuenta su aventura en twitter y en su blog.

perche

3 cojones le importa a puigdemont y su tropa, y esperate que aun esta el tema de los datos de hacienda que pretenden usar cuando monten su chiringuito agencia tributaria, todos los datos tributarios expuestos.

telemaco103

Pues lo siento por los no independentistas

Troyer

Vaya inútiles compartir el código que encripta la db y la db en sí, de todos modos para descubrir un registro tienes que comparar 575897 * 1012 posibles hashes hasta que encuentres el que hace match.

Con tiempo se puede hacer pero creo que serían años.

2 respuestas
B

#4 No hace falta, si tienes la letra limitas muchismo la busqueda, resulta solo una ecuacion diofantica y algebra modular (largo de explicar), pero basicamente, estan expuestos.

Troyer

Alguien más se ha fijado en el easter egg con el número 1714?

1714 fue cuando hubo el sitio de Barcelona.

1 respuesta
RusTu

#6

En el código de la web se encuentra el número 1714, símbolo del independentismo que conmemora la caída de Barcelona ante las tropas de la corona borbónica durante la Guerra de Sucesión Española. El cifrado parte de un algoritmo matemático que opera 1714 veces para obtener la contraseña de descifrado. No es una casualidad.

El problema de seguridad es la pequeña cifra de datos a averiguar por operaciones informáticas que se necesitan para transformar la base de datos en un texto plano: edad, tres cifras del código postal y unos pocos dígitos del DNI. Tarjetas gráficas de gran potencia y ordenadores dedicados a estas operaciones no tardarían mucho en convertir la base de datos de los votantes es un texto legible mediante intentos con fuerza bruta.

Del artículo de El País.

Javimorga

Meh, 140 millones menos que Equifax. USA! USA!

SikorZ

Joder, espero que los que sean responsables de esto paguen. Teniendo en cuenta como estan el tema de protección de datos.. le caerá un marron bueno..

#4 Ya te lo han dicho, pero te lo confirmo, en minutos cualquier programador te hace un programa que lo consiga. Sabiendo la letra del DNI ademas se limita mucho y se hace facil el averiguar el numero puesto que a partir del numero se consigue la letra, podria incluso hacerte un ejemplo en unos minutos (ahora no, salgo de la ofi ya)

1 respuesta
B

Abrí una noticia sin ver esta. Copy past.

La Generalitat deja al descubierto datos personales de todos los catalanes con derecho a voto

En su huida hacia adelante para organizar el referéndum suspendido por el Tribunal Constitucional, el Gobierno de Cataluña ha dejado al alcance de cualquiera con conocimientos de cifrado de datos todo el censo de esa comunidad autónoma. Los datos de más de cinco millones de ciudadanos mayores de 18 años que, por sí mismos o cruzados con otras bases de datos, pueden ser instrumentos para cometer fraudes.

Según han alertado varios expertos, el sistema de cifrado de los datos recopilados en secreto y empleados por las autoridades catalanas para elaborar el censo que iba a permitir el referéndum del 1 de octubre es fácilmente descifrable. El foro especializado Hacker News ha sido el primero en informar de este grave fallo de seguridad.

El protocolo que empleó la Generalitat para burlar la censura del Gobierno recibe el nombre de IPFS y consiste, a grandes rasgos, en una red de acceso distribuido y descentralizado con una única fuente de información. “Es un sistema P2P —entre usuarios— que crea una red social en la que se almacenan archivos sin que haya intermediarios”, explica Antonio Gonzalo, fundador de Ethereum Madrid. “El contenido que se sube a la red es público y cualquiera puede ver el contenido que hay dentro”. En otras palabras: con IPFS, cada usuario descarga la web y se convierte en un servidor y, para que esto funcione, se tiene que poder replicar la web, por lo que se replica la base de datos. Por este motivo, es imprescindible encriptarla.

“El mecanismo de acceso a los ficheros se establece a través de unhasho algoritmo de resumen, que se descifra con un código que funcionaría como una firma digital”, expone Victor Escudero, experto en ciberseguridad. Este código consistía en una sucesión los últimos cinco dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal. De esta manera, los ciudadanos catalanes podían consultar el colegio electoral en el que les tocaba votar. El problema está en que estos datos siguen un patrón sencillo y responden a un número limitado de combinaciones—365 días al año, 23 letras posibles en un NIF…— que un ordenador puede ir probando hasta acertar y descifrar casos particulares, en los que recogería estas cuatro variables para asociarlas a un usuario concreto.

El gobierno español, siguiendo las directrices de la justicia, intentó por todos los medios cerrar las webs que informaban a los ciudadanos catalanes sobre dónde votar. Esta información era crucial, puesto que los ciudadanos debían saber de antemano a qué colegio dirigirse para depositar su voto, y por este motivo, el propio Carles Puigdemont, presidente de la Generalitat, difundió una app mediante la cual los ciudadanos obtendrían dicha información.

Las autoridades españolas fueron bloqueando el acceso a las sucesivas webs que contenían esos datos, con lo que la Generalitat optó por utilizar un sistema de réplica de los contenidos (incluyendo la base de datos, que a su vez incluye los cinco últimos dígitos del DNI, la letra del NIF, la fecha de nacimiento y el código postal) que haría virtualmente imposible cerrarlas todas. Esas webs con contenidos idénticos iban multiplicándose, mientras paralelamente aparecían nombres de dominios en Europa, Estados Unidos y según reveló este diario, países sin acuerdos de legislación digital con España, como Rusia.

El foro Hacker News ha localizado la vulnerabilidad del procedimiento: el sistema de cifrado de datos empleado por las autoridades catalanas sería fácilmente descifrable sin necesidad de contar con potentes equipos. El profesional informático Sergio López ha probado él mismo esta posible vulnerabilidad empleando datos falsos, y ha comprobado que es real: un usuario avanzado puede obtener de una manera sencilla los datos personales del censo.

“Para sortear el bloqueo de las webs se emplea un sistema que distribuye la web completa y pone la base de datos al descubierto aunque esté cifrada”, explica López a EL PAÍS. Mediante un ataque de “fuerza bruta” y en unas pocas horas, se puede obtener dicha información. López se refiere también a la debilidad del cifrado: “Una parte enorme de la clave es predecible: cualquier puede deducir que en un código postal concreto en un año determinado va a haber una secuencia concreta”. Este profesional de la informática ha publicado el hilo en Twitter, alarmado al comprobar que “cualquiera” puede obtener estos datos y con otros fines.

Según el experto, los datos "han sido comprometidos" y "están a la disposición de cualquiera en Internet". "Si yo, que NO me dedico a la seguridad TI y sólo tengo conocimientos básicos de criptografía, me he dado cuenta, los malos lo saben seguro", asegura en su hilo de Twitter.

1714, clave en el cifrado de los datos
Félix Palazuelos

En el código de la web se encuentra el número 1714, símbolo del independentismo que conmemora la caída de Barcelona ante las tropas de la corona borbónica durante la Guerra de Sucesión Española. El cifrado parte de un algoritmo matemático que opera 1714 veces para obtener la contraseña de descifrado. No es una casualidad.

El problema de seguridad es la pequeña cifra de datos a averiguar por operaciones informáticas que se necesitan para transformar la base de datos en un texto plano: edad, tres cifras del código postal y unos pocos dígitos del DNI. Tarjetas gráficas de gran potencia y ordenadores dedicados a estas operaciones no tardarían mucho en convertir la base de datos de los votantes es un texto legible mediante intentos a fuerza bruta.

http://www.msn.com/es-es/noticias/espana/la-generalitat-deja-al-descubierto-datos-personales-de-todos-los-catalanes-con-derecho-a-voto/ar-AAsVYR8?li=BBpmbhJ&ocid=mailsignout

‘Hackers’ rusos ayudan a tener activa la web del referéndum: Los independentistas catalanes intentan por todos los medios mantener un censo online
Para luego declarar censo universal.

Disfruten lo votado.

Horribeler

Y aún no han metido a esta gente en la cárcel... grande Mariano

1 respuesta
UnleasheD

Esto no es nada, ahora a clasificarlos por afines al régimen o no, y ya full democracia.

Ridote

#11 Esta gente tiene inmunidad política, cuanto antes lo asumamos mejor. Habría que encerrarlos bien encerrado pero por lo que le están haciendo al pueblo catalán, que los van a volver unos parias y van a hundir su economía. Más el odio que van a generar entre los ladrones que están al mando de la independencia y los corruptos y anormales que tenemos en nuestro gobierno.

Sinceramente, ojalá termine todo bien para ambas partes.

U

Esto no importa, lo importante es la banderita de mierda de unos y otros.
Vaya tela....

Mujiwara

/thread

1 1 respuesta
E3-NeOz

#15 sabes que todo eso lo hace un brute force con la clave que ya se conoce no ? ese 1714 que tanto le gusta recordar a los indepes .
sabiendo la clave de cifrado , es cuestion de tiempo que esos DNIS salgan a la luz

1 respuesta
Kaoticbcn
#9SikorZ:

Joder, espero que los que sean responsables de esto paguen. Teniendo en cuenta como estan el tema de protección de datos.. le caerá un marron bueno..

Que gracia me hacen los ignorantes de la informática xDDD tranquilo que la protección de datos la cumplen perfectamente.

1 respuesta
Mujiwara

#16 Ve empezando a hacer brute-force

Y teniendo todos los datos:

Por último, a modo de demostración, os dejo los datos de la mesa electoral de Roger Junqueras, el hermano de Oriol Junqueras. El DNI lo he obtenido utilizando Google y el código postal a través de las páginas blancas. Por cierto, su fecha de nacimiento es el 10 de Octubre de 1974

El DNI -> de Google (YA PUBLICADO)
El Código postal -> Páginas blancas
Fecha nacimiento -> de Google

En cualquier BOE del estado y en mil historias te puedes encontrar el DNI de la persona, esta polémica solo esta dando INFORMACIÓN sobre que colegio electoral le toca y TENIENDO TODOS LOS DATOS

2 1 respuesta
D4rKNiGhT

hijos de la gran puta, y el klon este haciendose el gurú.

SikorZ

#17 bua tio, no sabia que era un ignorante de la informatica, solo llevo desde los 16 trabajando en esto y tengo 27... Menos mal que tenemos gente como tu que es super inteligente, aunque seguro q eres indepe y esa bilis te sale por tu resentimiento a mi opresion fascista por ser español..

Pero oye, segun tu cumplen la proteccion de datos, ya que mientras mas gente los tenga mas protegidos estan verdad? Es hilarante xD..

Seguramente me hables de una ley de proteccion de datos catalana cancelada por el TC que para ti si es legal porque os manifestais.. oh, mis disculpas.

1 respuesta
GaN2

#18 Independientemente de que tardes 5 minutos o 50 años en desencriptar 1 o X DNIs lo que no entra en la cabeza de nadie que se dedique a seguridad informática o tenga nociones es que se ponga el censo catalán en Internet y en libre acceso a todo el mundo. Y encima tienes los cojones el creador de ir a Hacker News y publicar el código y un artículo de como se generan los hashes...

1
Kaoticbcn

#20 bua tio, 27 años viviendo en Cataluña y soy indepe y saco bilis y bla bla bla.

Pues no hijo mío, yo no soy indepe, del mismo modo que tú no eres informático. Léete la ley de protección de datos y dime que parte han incumplido.

1 respuesta
SikorZ

#22 Pues para empezar no pueden usarlos sin el consentimiento de las personas y lo han usado para un acto ilegal cancelado por el tribunal constitucional.

Consentimiento para el tratamiento de datos personales

Finalmente, debido a que es probablemente el motivo más frecuente de sanción, conviene repasar bien todo lo relativo al Consentimiento. Este consentimiento del afectado para el tratamiento de sus datos personales se exige que sea libre, inequívoco e informado. Puede ser expreso o tácito, salvo en el caso de datos especialmente protegidos en que la ley exige que sea expreso y escrito. No solicitar el consentimiento del afectado para el tratamiento de sus datos personales en los casos en que sea necesario constituye una infracción grave o muy grave, según el tipo de datos que se vayan a tratar, con multas que van desde los 60.000 € hasta los 600.000 €.

Y aqui te dejo unos articulos de la investigacion de la agencia de proteccion de datos por esto precisamente:
https://politica.elpais.com/politica/2017/09/18/actualidad/1505734999_480220.html
http://www.laopinioncoruna.es/espana/2017/09/18/proteccion-datos-investiga-censo-referendum/1218311.html
http://www.eldiario.es/norte/euskadi/Referendum-catalan-proteccion-datos_0_690131018.html
http://www.elperiodico.com/es/politica/20170929/proteccion-datos-multas-integrantes-mesas-referendum-6319127
(Incluso formar parte de la mesa, ya que tienes acceso a esos datos sin permiso y para ayudar en un proceso ilegal):
http://www.lavanguardia.com/politica/20170929/431630724329/proteccion-de-datos-mesa-electoral-referendum-1-o-multa-300000-euros.html

No hay peor ciego que el que no quiere ver.

Puedes seguir paseando tu prepotencia por aquí, no voy a entrar en una discusion contigo porque es perder tiempo, no vas a razonar. Con suerte razones en unos dias cuando veas tu sueño de Puchimon montado en un unicornio roto por la realidad.

De hecho fijate si soy poco informatico que sabes para quien trabajo? Precisamente para tus jefecillos campeon, fijate que ironias tiene la vida ;).

1 respuesta
suggus

por favor un respeto a Klon

un crack todo sea dicho, compartimos facultad unos años.

Kaoticbcn

#23 Pues yo sí que quiero seguir que es divertido, ya que "el ciego que no quiere ver" me pareces tú.

"Pues para empezar no pueden usarlos sin el consentimiento de las personas y lo han usado para un acto ilegal cancelado por el tribunal constitucional."

Ese no es el tema tratado en este hilo, hace semana que se sabe eso y la gente se pregunta "¿De donde habrán conseguido esos datos?" así que el delito está en obtener datos personales de forma ilegal, no de la protección de estos que son cosas distintas.

Sobre el tema "No solicitar el consentimiento del afectado para el tratamiento de sus datos personales etc." se aplica a la hora de tú proporcionar los datos, que repito, nadie físicamente les proporcionó los datos, con lo cual la ilegalidad sigue estando en como los obtuvieron, no sí "se notificó a la persona cuando esta estaba proporcionando los datos".

E insisto, en esta noticia se habla de como obtener los datos de las personas mediante fuerza bruta, es como cuando se filtraron los mails de PlayStation Network, también incumplieron ellos la ley de protección de datos, no? xD

En este caso no han expuesto lo datos públicamente, tienen la suficiente seguridad para considerarse así.

¿Y dices que trabajas para "mis jefecillos"? WTF? xDDD Si realmente sabes donde trabajo dime a ver que protección tienen los datos sensibles de los usuarios de la empresa y cual de los dos sería el hazme reír con la protección de datos en esta noticia :wink:

2 respuestas
SikorZ

#25 Trabajo para puchi y cia, para lo que ellos representan, no dare mas datos.

Ah y una puntualizacion, el uso o tratamiento de esos datos han sido para fines ilegalizados por el TC, ni la gene ni la gente que trabaja con ellos tiene derecho (legal en españa al menos)

Espero que lleves razon y tus argumentos valgan a los jueces, pero me temo que el tiempo nos dira lo contrario.

Como dije, no voy a discutir mas, no puedo convencer a alguien que no razona, no admitiras nada, es una pena..

Kazjako

Unas preguntas que no me queda clara del todo.
Aquí no estamos mezclando cosas diferentes? Una cosa es la base de datos con la información de las mesas de los días previos al referèndum, que es Justo de lo que habla Klondike (post 25 septiembre).
Y otra la base de datos que se utilizó el día 1 de Octubre utilizando IPFS que es de la que hablan últimamente estos días en los medios.

La pregunta es, en que se diferencian una de la otra?
En la del 1-O entiendo que había una parte de input y modificación de la base de datos ya que si se votaba doble aparecía un aviso diciendo que ese DNI ya había votado. Por lo que entiendo es que esta última bbdd si que tendría información sensible como por ejemplo si acudió a votar o no.
La otra bbdd entiendo que como mucho podía dar como output la mesa en la que se iba a votar o el DNI parcial.

Y mi última pregunta, alguien sabe si esta última bbdd se ha filtrado en algún lado o si está accesible actualmente?

2 respuestas
Netzach

#27 No usaron la misma?

http://la3.org/kilburn/blog/catalan-government-bypass-ipfs/

Soy_ZdRaVo

#25 pues claro que cuando se filtraron los datos de PSN incumplieron la lopd.

Algunos vais de expertos y no sé muy bien si sabéis de lo que habláis

#27 esa última bbdd la subieron a cientos de mirrors para que no pudieran tumbarla y es la que el chico de Red Labs ha desencriptsdo usando gpu en menosbde 10 minutos.

Pero oye, el tío ese de twitter dice que es imposible xD

Usuarios habituales

  • Netzach
  • SikorZ
  • Kaoticbcn
  • Mujiwara
  • E3-NeOz
  • Troyer
  • telemaco103