Buscar
Últimos temas
Argumentos más vistos
Temas más activos
Visitas
Una brecha de seguridad en el Ayuntamiento de Madrid deja al descubierto la identidad de los conductores del SER El Instituto Nacional de Ciberseguridad recibió el aviso de un usuario que detectó que podía consultar los datos personales de otros vecinos
Página 1 de 1.
Una brecha de seguridad en el Ayuntamiento de Madrid deja al descubierto la identidad de los conductores del SER El Instituto Nacional de Ciberseguridad recibió el aviso de un usuario que detectó que podía consultar los datos personales de otros vecinos
rip 19.03.21 18:29
Una brecha de seguridad en el Ayuntamiento de Madrid deja al descubierto la identidad de los conductores del SER
El Instituto Nacional de Ciberseguridad recibió el aviso de un usuario que detectó que podía consultar los datos personales de otros vecinos
[ltr]photo_camera[/ltr]
Parquímetro en una calle de Madrid.
La Agencia Española de Protección de Datos ha analizado durante meses una brecha de seguridad de datos personales que le notificó el Ayuntamiento de Madrid. El consistorio de la capital de España había sido advertido de un acceso no autorizado a los justificantes de autorizaciones como personas residentes del servicio de estacionamiento regulado de vehículos de Madrid.
En febrero de 2020 el Ayuntamiento de Madrid notificó a la agencia que se había encontrado esa brecha de seguridad..
La Subdirección General de Arquitectura y Seguridad de Informática del Ayuntamiento comunicó el 7 de febrero de 2020 por correo electrónico a la Dirección General de Sostenibilidad y Control Ambiental, responsable del servicio de estacionamiento regulado de vehículos de Madrid (SER), la información que acababa de recibir del Instituto Nacional de Ciberseguridad (INCIBE) referida a un posible incidente de seguridad que afectaba a la web movilidad.madmovilidad.es..
Alerta al Instituto de Ciberseguridad
Un usuario había alertado del incidente al INCIBE. Al parecer, en esa página era posible acceder a justificantes de autorizaciones de terceros residentes del SER, en los que constaba el nombre, apellidos y DNI de la persona autorizada, así como la matrícula del vehículo.
El ayuntamiento comprobó que, efectivamente, simplemente cambiando un dígito en la URL donde los usuarios del SER tramitan sus autorizaciones, podían consultar los datos personas de terceras personas.
Además, también se abrió expediente por una brecha de seguridad de datos personales notificada por el Ayuntamiento de Madrid “relativa a la comunicación por un ciudadano a través de correo electrónico sobre una reclamación que había interpuesto en el Ayuntamiento en el año 2015 y que aparece publicada en Internet haciendo una búsqueda a través de Google”.
El consistorio había modificado en agosto de 2019 el Sistema de Información de Sugerencias y Reclamaciones (SyR) para el envío de las contestaciones a las sugerencias y reclamaciones presentadas en el ayuntamiento.
El ayuntamiento tuvo conocimiento de que “algunos usuarios habían publicado en redes sociales el enlace facilitado y a raíz de la comunicación del ciudadano se procedió desde el Organismo Autónomo Informática Ayuntamiento de Madrid (IAM) a la eliminación de toda indexación de páginas en cualquier buscador de internet, actuando prioritariamente sobre Google”.
Los informáticos del ayuntamiento actuaron para que no se mostrara “ningún enlace de respuesta que el usuario haya decidido publicar en cualquier página de internet, como foros, blogs, etc. Esta actuación a través del fichero robot.txt afecta a todos los buscadores”.
Por todos estos hechos, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos descritos. Como entidad investigada se catalogó al Ayuntamiento de Madrid.
Nombre, apellidos, DNI, matrícula...
El consistorio madrileño aseguró que “el número de registros de datos afectados son cuatro, es decir, exactamente el número de personas afectadas por el incidente, de los que confirma que se produjo acceso por el tercero que lo notificó al INCIBE” a los siguientes datos:
-- Nombre y apellidos.
-- DNI.
-- Matrícula de vehículo.
-- Denominación de la zona del SER a la que corresponde la autorización.
El ayuntamiento comunicó a Protección de Datos que no tenía conocimiento de que hubieran sido utilizado por terceros esos datos personales obtenidos mediante el acceso no autorizado a los registros del Servicio de Estacionamiento Regulado.
Un error formal obliga al archivo
En noviembre de 2020 la directora de la Agencia Española de Protección de Datos acordó iniciar un procedimiento sancionador contra el Ayuntamiento de Madrid, “por la presunta infracción de los artículos 32, 33, 34 y 35 del RGPD en relación con el artículo 5.1.f) del RGPD y por la presunta infracción del artículo 5.1.f) del RGPD”.
El artículo 32 del Reglamento General de Protección de Datos obliga a las entidades que manejan información a “la seudonimización y el cifrado de datos personales” y a garantizar “la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”.
El 33 regula las obligaciones de notificación en caso de violación de la seguridad de los datos personales, el 34 establece que “cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida”.
Por último, el artículo 35 obliga a realizar una evaluación de impacto de la protección de datos por el uso de las tecnologías.
Pese a que tenía pretensiones de investigar al Ayuntamiento de Madrid por todas esas posibles infracciones, la directora de la Agencia Española de Protección de Datos archivó el caso. Tomó esa decisión por un defecto formal: “El acuerdo de inicio [del expediente] adolece de vicio de nulidad de pleno derecho al incoar en un solo expediente dos hechos distintos realizados por diferentes responsables” de tratamientos de datos.
La brecha de seguridad del Servicio de Estacionamiento Regulado (SER) era responsabilidad de la Dirección General de Sostenibilidad y Control Ambiental, adscrita al Área de Gobierno de Medio Ambiente y Movilidad, mientras que el incidente relacionado con la página de “Sugerencias y Reclamaciones” correspondía a la Dirección General de Transparencia y Calidad, adscrita al Área de Gobierno de Vicealcaldía.
Antes de cerrarse la investigación, el Ayuntamiento de Madrid informó de todas las acciones que puso en marcha para corregir la brecha de seguridad con los datos de los usuarios del Servicio de Estacionamiento Regulado.
Movilizó a las cuatro empresas que gestionan las zonas azul y verde de Madrid en régimen de concesión directa, y bloqueó el acceso a la aplicación de trámites del SER. Durante unos días quien intentó acceder a esa página sólo veía unos códigos de error “HTTP Status 404 -Not Found” y “HTTP Status 503 - Service unavailable” hasta que se implementó la solución definitiva el 13 de febrero de 2020.
https://www.elconfidencialdigital.com/articulo/vivir/brecha-seguridad-ayuntamiento-madrid-deja-descubierto-identidad-conductores-ser/20210318142555224448.html
rip- Cantidad de envíos : 3760
Fecha de inscripción : 01/03/2009
Temas similares» Indiferencia del Alcade ante secuestros en colonia de Torreón; Deja que vecinos resuelvan seguridad
» Sin pena ni gloria Manuel Mondragón y Kalb deja las Comisión Nacional de Seguridad y la coordinación
» Cristina Kirchner en su país de las maravillas -El Instituto de Estadística falsea los datos.
» ARGENTINA: 'Anonymous' revela datos personales de magistrados del caso de Marita Verón
» Sufre atentado secretario del ayuntamiento de Jalapa, Tabasco, recibió un balazo en la cara y dos en
» Sin pena ni gloria Manuel Mondragón y Kalb deja las Comisión Nacional de Seguridad y la coordinación
» Cristina Kirchner en su país de las maravillas -El Instituto de Estadística falsea los datos.
» ARGENTINA: 'Anonymous' revela datos personales de magistrados del caso de Marita Verón
» Sufre atentado secretario del ayuntamiento de Jalapa, Tabasco, recibió un balazo en la cara y dos en
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.
» El cártel de Los Zetas comenzó a operar en 1999 como un brazo armado del Cártel del Golfo, LA HISTORIA DE LOS ZETAS
» Gadafi, Hussein y Noriega deberían recordarle a Maduro que los tiranos tienen fecha de caducidad
» «Violadores en potencia» versus «putas en potencia»
» El Banco de España de Escrivá se sumará al acoso a Madrid: fiscalizará la política de las autonomías Cuerpo evidencia su enemistad con Escrivá: apenas le apoya en el Congreso y obvia su reforma de pensiones
» El presidente del Gobierno, Pedro Sánchez, ha vuelto a hacer gala de su odio a los ricos.
» Yolanda Díaz ofrece como «trabajo esencial» 120 puestos de deportista a inmigrantes a cambio de papeles
» Illa compra un sistema de espionaje para la unidad de los Mossos que persiguió a los constitucionalistas
» Ayuso pide a los barones del PP que no se sienten con Sánchez si no les llama a «todos juntos»
» La presidenta del Supremo se estrena con un recado para Sánchez: «Respeto al trabajo de los jueces»
» Varapalo del TSJM al fiscal general: admite la querella del novio de Ayuso para investigar la filtración
» CASO BEGOÑA GÓMEZ' Una tertuliana de Intxaurrondo en TVE exige a Sánchez que tome el control de los jueces y medios críticos
» El ICO avala al consultor que salpica a la mujer de Sánchez con otros 225.000 euros por la guerra de Ucrania
» El impresionante progreso de la mujer y el hermano de Pedro Sánchez desde que llega a la Secretaría General del PSOE y, especialmente, al Gobierno
» ¿ Quien manda en la Fiscalia ? pues eso......./// La Fiscalía se opone al juez y solicita el archivo de la causa contra Begoña Gómez