La web de EMISALBA dejó al descubierto la dirección de miles de albaceteños con solo introducir el DNI

TOyota

/Javier Romero/

Con la introducción del número de DNI en el apartado ‘Zona Residentes’ de la página web de EMISALBA, empresa pública encargada del estacionamiento regulado en la vía pública en Albacete (zona azul y zona roja), cualquier persona podía conocer el nombre completo y dirección de cualquier ciudadano de Albacete que estuviera en esa base de datos, que según fuentes de EMISALBA consultadas por este medio correspondería al padrón de Albacete. 

Esta denuncia llegó a El Digital de Albacete por parte de un ciudadano, y este medio de comunicación pudo verificar que al introducir diferentes números de DNI la web mostraba datos de carácter personal sin mayor control. Así pues, si una persona conocía un número de DNI y lo introducía en la web, ésta facilitaba el nombre completo y la dirección del titular de ese Documento Nacional de Identidad, algo que se tornaría de especial gravedad en el hipotético caso de una persona que tenga medidas de protección adicionales de no revelación de domicilio.

La siguiente captura de pantalla fue tomada este jueves a las 17:41 con la información mostrada al introducir el DNI de una de las periodistas de El Digital de Albacete (se han pixelado los datos de DNI y dirección que sí eran visibles con solo poner el DNI).

Esto mismo fue repetido con varios DNI y en todos los casos se mostraba el nombre completo y la dirección. Ninguno de los DNI consultados eran titulares de tarjetas de aparcamiento para residentes. Además, el nivel de detalle de los datos de algunos usuarios era mayor en el caso de ser usuario de la zona de aparcamiento para residentes.

ACCESO NO DISPONIBLE

Desde este medio nos pusimos de inmediato en contacto con el Ayuntamiento de Albacete para informar de lo constatado. Inmediatamente se alertó a Emisalba de lo que sucedía y se procedió al cierre al público de este apartado de la web.

Desde El Digital de Albacete se ha esperado a publicar esta información una vez que los datos no son ya accesibles públicamente , para no propiciar así la revelación de datos de carácter personal que pudieran ser utilizados por terceros para otros fines.

EMISALBA ABRE UNA INVESTIGACIÓN

Por su parte, fuentes de la empresa pública EMISALBA consultadas por El Digital de Albacete han señalado que el pasado 10 de diciembre la empresa pública lanzó una nueva web con el objetivo de facilitar el acceso a la información y servicios que ofrece a la ciudadanía, incluyendo en estos la renovación telemática de la tarjeta de aparcamiento para residentes. Para esto, señalan desde EMISALBA, se contrató a una empresa para que desarrollara esta aplicación de renovación telemática que entró en funcionamiento este mismo jueves a las 9 de la mañana, teniendo conocimiento EMISALBA, alrededor de las 18 de la tarde, de un fallo en el diseño y la configuración de la aplicación desarrollada, que habría originado que hayan quedado expuestos datos del servidor. En ese momento la empresa pública bloquea el acceso a esta zona de la web y como medida suplementaria de seguridad desde el Ayuntamiento de Albacete bloquean los puertos de acceso al servidor.

Tras esto EMISALBA, por iniciativa propia, traslada a la Agencia Nacional de Protección de Datos lo sucedido y paralelamente abre una línea de investigación para conocer todo lo ocurrido y depurar responsabilidades, si procede.

Mapfre

2 comentarios

  1. …”Tras esto EMISALBA, por iniciativa propia”…
    Según él RGPD la empresa está obligada a avisar inmediatamente de este tipo de problemas en cuanto llegue a su conocimiento, según el tipo de gravedad tiene más o menos plazo para realizarlo pero sí o sí debe hacerlo, si no las multas pueden llegar a ser muy grandes. Aunque el fallo original no sea su culpa, eso no quita que no informe del problema y bloquee dicho acceso para evitar explotar la vulnerabilidad ya que debe ser investigado.

    En el caso de páginas web en las que un usuario se registre y en la que se filtre información mediante un ataque de un hacker por ejemplo, deben informar tambien a dichos usuarios para que tomen las medidas oportunas (cambiar de contraseña, etc, aunque esto no siempre es necesario si las medidas de seguridad impiden acceder a información sensible o el logaritmo de cifrado es capaz de mantener la información bloqueada si no se tiene la llave de descifrado).

  2. Efectivente el reglamento europeo de protección de datos indica que se ha de avisar a la Agencia en un plazo de 72 horas de cualquier brecha de seguridad.
    La brecha ha sido más grave de lo que la noticia indica, ya que durante el tiempo que el servicio ha estado activo se ha podido acceder desde la web sin restricción ninguna a los documentos que la gente ha subido a la plataforma, entre los que se encuentran justificantes de pago con números de cuenta y copias del DNI. Afortunadamente han sido pocas parisinas las que han subido documentos a la plataforma y se ha cerrado rápidamente

Comentar

Su dirección de correo electrónico no será publicada.Los campos necesarios están marcados *

*

Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.