Datos Fiscales comprometidos
¿Alguno de ustedes ya subió sus datos biométricos en la AFIP? ¿Firma, DNI escaneado, huellas dactilares y una foto? pues bien, hasta hace un día toda esa información la podía acceder cualquiera y gracias a un amigo de la casa, Fernando (a.k.a. Cypher) lo arreglaron rápido.
No escribo mucho sobre hacking aquí pero esto nos involucra a todos, resulta que la AFIP desde mayo de 2010 hizo obligatorio estos datos en el reempadronamiento anual del monotributo, no hay una razón coherente para tener hasta mi huella dactilar, pero que esos datos los pueda acceder cualquiera es un regalo para los estafadores.
Es simple, podían obtener una copia digitalizada de tu firma, hasta la copia del DNI, armar contratos, contratar servicios, lo que fuere.
El error era bastante simple, entró a ver sus propios datos y se fijó en la url que cargaba la foto, básicamente era así:
https://servicios1.afip.gov.ar/ClaveFiscal/aceptabiometricos/resources/res.getBiometric.aspx?id=xxxxxxxxxx&tipo=x
Es decir, pasaba como parámetros el CUIT y el tipo de documento a mostrar (foto, firma, dni, etc.), ahora bien, simplemente cambiando por el CUIT de cualquier otro se mostraban los datos. Les recuerdo, esto funcionó así hasta ayer!
Fernando obviamente vio comprometidos sus datos, de hecho, yo mismo probé con los suyos y pude ingresar a ver sus datos sin siquiera estar logueado con mi clave fiscal ¡cualquiera desde afuera podía!
No había encripción (por más https, eso sólo sirve para crear un canal seguro entre cliente y servidor), no había control de sesiones (básico al programar cualquier web con login de usuario) y el recupero de datos no consultaba si el solicitante era el indicado ¡todo mal hecho!
No soy un gran programador, pero al hacer el PostRev obviamente lo primero que te tratan de hacer es hackear y acceder con permisos de administrador, es básico, que los programadores de la AFIP no lo tengan en cuenta es grave.
Pero hubo una buena noticia aquí, apenas envió el mail indicándole el problema, esto fue el domingo, el lunes mismo lo habían modificado!
Ahora utilizando cifrado PKCS lo que es un alivio porque ahora los parámetros se pasan de otra forma, igualmente, sigue sin haber control de sesión ni usuario coherente.
Palabras incumplidas parcialmente de Etchegaray:
"Esto estará protegido por el secreto fiscal; es la tendencia de otros países de la región y desarrollados. Además, evitará que otra persona diferente del titular del CUIT pueda utilizar esa clave", señaló ante una pregunta de LA NACION.
No estuvo protegido por ningún secreto, hasta ayer fueron datos públicos
El bug fue cubierto parcialmente, esto significa que apenas hay una pequeña contingencia, pero cualquiera que tuvo que utilizar los sistemas de la AFIP vía web sabe que hay problemas por todos lados. Nada está unificado, todo parece estar hecho por gente que no sabe nada de internet y poco de programación y nada está conectado entre sí.
Traten de seguir una lógica y no lo van a encontrar en el site de la AFIP que, para colmo, la mitad de las cosas ni se explican para que son o como usarlas. Traten siquiera de cambiar algún dato que tengan dado de alta y no podrán, dar de alta es fácil, modificar... ah... eso es para otra administración parece 
Por lo pronto ahora al menos se que cuando actualice mis datos habrá un filtro más para que otros lo usen, pero temo más huecos por venir, ¡y eso que quiero pagar mis impuestos!
Para más detalles les recomiendo leer los dos artículos de Fernando: Filtración de información privada en AFIP y Arreglado el problema de seguridad en AFIP
Si te gustó esta nota podés...
Escrito por Fabio Baccaglioni
Otros posts que podrían llegar a gustarte...
