Archive for January 2014

Chile: Problema de seguridad en sistema del Registro Civil

El Registro Civil del Gobierno de Chile permite realizar trámites en linea, mediante el sitio web www.srcei.cl. El problema,es que estan utilizando un certificado inválido, permitiendo que cualquier atacante pueda aprovecharse.

IFRAME dentro del sitio web del Registro Civil

IFRAME dentro del sitio web del Registro Civil

Al ingresar a www.registrocivil.cl, en una de las opciones del menu, linkea a www.srcei.cl dentro de un iframe. En este iframe se muestra la URL https://www.srcei.cl, el cual presenta un certificado válido solo para www.registrocivil.cl.

De esta forma, estan obligando al usuario a que acepte el certificado no valido para ese dominio, abriendo las puertas a atacantes que quieran realizar ataques MiTM, el cual permite ver todo el tráfico entre el usuario y el servidor, incluyendo usuarios, claves e información personal.

Probablemente los desarrolladores pensaron que, como el certificado es válido solo para www.registrocivil.cl, podrian ahorrarse la compra de otro certificado incrustando este otro dominio dentro de un iframe.

Leer artículo original: Chile: Problema de seguridad en sistema del Registro Civil