La información no Pública que Publican algunos sitios de GOB.EC

Es bastante interesante lo que se puede hacer con un buscador y unas cuantas malas configuraciones en los servidores web de varias instituciones que usan en su dominio el subfijo GOB.EC.

Con una búsqueda tan simple como "site:gob.ec password" se llegan a obtener resultados como estos:


Entiendo que como está publicado he indexado en un buscador, la información es Pública, es por esto que no cubro los datos que a mi criterio son críticos, pero al parecer para la institución no lo son.

Otros hallazgos importantes son, que parece que hay varios sitios de gobiernos sobretodo descentralizados que les usan para distribuir software pirata y malware. En la imagen siguiente se puede ver que en el sitio carchi.gob.ec hay enlaces para descargar el Antivirus ESET. 

  Y carchi.gob.ec no es un caso aislado, esto es algo bastante común como se puede ver en la siguiente imagen. 


Están los sitios de Babahoyo, Valparaiso, La Esperanza entre otros.

Otra información que publican son logs, que deberían ser confidenciales, aunque parece que algunas instituciones consideran esto información pública.


Un hallazgo más de tantos es que hacen respaldos en los mismos servidores de producción, y como les cambian las extensiones a los archivos se puede descargar el código fuente con dos clics.


En la imagen anterior se puede ver que cambian las extensiones php a phpfecha lo que permite que con un clic derecho se puedan descargar cada uno de los archivos en búsqueda de información crítica. Tal como se muestra en la siguiente imagen. 


Una vez más parece que esto es información pública para esa institución, a mi criterio esto se debería tratar como información crítica.

Otro hallazgo es que les usan a los sitios para promocionar pornografía, es bastante preocupante el desinterés de los responsables.



Si en el navegador colocamos lo siguiente "site: gob.ec sex" (puede hacer la prueba) nos encontramos con lo mostrado en la siguiente imagen. 

Si quieren sexo y citas vayan a los sitios listados. 

Con este artículo simplemente quiero alertar a las personas que administran esos sitios, con unas pocas lineas cambiadas en la configuración de Apache, un htaccess adecuado y SELINUX habilitado pueden ganar mucho. 

Toda la información aquí citada es pública y puede ser accedida por cualquier persona con un buscador como la única herramienta, no se han realizado intentos de penetración o actividades similares. 


Últimos
Previous
Next Post »

4 comentarios

Write comentarios
5 de septiembre de 2015, 0:10 delete

increible revise el primer link que mencionas y continua mostrando informacion de passwords y despues se quejan de que los hacker los atacan

Reply
avatar
Jorge Moya
AUTHOR
7 de septiembre de 2015, 8:50 delete

Si en realidad es bastante preocupante, nos hemos comunicado con esa entidad pero parece que aún no corrigen el fallo.

Reply
avatar
9 de septiembre de 2015, 16:07 delete

Este te falta, http://www.registrocivil.gob.ec/leeme.txt~ y unas cuantos disclosures más, adicional que la plantilla WP que usa hasta la presidencia tiene xss http://securityec.com/xss-en-la-web-de-la-presidencia-del-ecuador/

Reply
avatar
Jorge Moya
AUTHOR
9 de septiembre de 2015, 17:05 delete

Si me pongo a listar todos no alcanzo, incluso si buscas puedes ver documentación con password de servidores en una hoja de cálculo excell. En una entidad que no la quiero nombrar pero algo tiene que ver con el líquido vital.

Reply
avatar