Cómo hackearon los Padrones Nacionales?

Publicado por ElPerro | Archivado en Mi Trabajo, Privado, Seguridad, Vulnes, rants

Visto y considerando que nadie me dió ni tronco de pelota en algo tan delicado como el ataque al sitio web del Padrón Electoral Nacional, decidí volcarlo en este post.
Obviamente, solo accesible para unos pocos No quiero que todo el mundo ande haciéndose el hacker y terminemos por reventar un servicio tan útil como ha resultado este sitio web en las últimas semanas.
EDITADO: Ahora que arreglaron el bug, hago público el post

El ataque fué de lo mas simple
Ni siquiera son necesarios conocimientos previos de programación o seguridad web dado que el error recae en el almacenamiento de las cookies.

El programador dispuso al programa generar una cookie por el ingreso al sistema de consulta al que todos tenemos acceso simplemente con tipear http://www.padrones.gov.ar, esa cookie queda almacenada en nuestra computadora de la misma manera que miles y miles de cookies de los sitios web que navegamos.
Ahora bien…el fragmento de información [cookie] almacenado en nuestro disco rígido no es nada mas y nada menos que el nombre de usuario y clave de acceso al sistema de administración y es muy simple de ver con un simple editor de cookies o entrando a la carpeta donde se almacenan los archivos temporales de Internet.

Veamos que ocurre con Firefox

No hay mucho mas que decir verdad?
Solo resta buscar el directorio de administración.
Eso me llevó nada mas que unos pocos segundos, el directorio era “admin”.

Tiempo total desde el ingreso a la página hasta el acceso al sistema de administración: 5 minutos, 37 segundos [cornometrado con el celular]

Mas imágenes en Flickr

GreetZ!