¡Hola de nuevo! Me encontraba esta mañana en un parque, husmeando un poco el trafico de su wifi libre.
Mientras veía las peticiones DNS una me llamó la atención. "
cajadeahorrocicpc.com.ve" el CIPC es
"Cuerpo de Investigaciones Científicas, Penales y Criminalísticas" de mi país (Venezuela)
Me pareció extraño que alguien navegue por ese tipo de páginas en una red completamente abierta.
Procedí entonces a buscar y escánear esa página, primero jugué con google un rato hasta que encontré "Index of /txt"
http://www.cajadeahorrocicpc.com.ve/txt/Lo que me llamó la atención en el sitio eran los .txt y sus nombres. Por ejemplo
"AHORROS.txt" y su gran coincidencia con el nombre de la página.
Luego de abrir los archivos, BUM. Información que NO debería ser pública aparece.
Nombres completos, servicios afiliados a la caja de ahorros, disponibilidad de ahorros, deuda del aporte patronal, teléfono, dirección y documento de identidad
He visto antes esto de documentos guardados así por así en otras web. Pero de una de las ramas más importantes del cuerpo policial de Venezuela, no me lo esperaba. Hablamos de miles de líneas de datos personales de detectives/agentes de este cuerpo.
Ahora tengo más razones para quejarme de la ineficiencia de los cuerpos de seguridad en mi país...
Además de toda la información comprometida, hay un log de error muy extenso. No lo logro entender muy bien, no tengo mucha experiencia ahí. Pero los warning al mysql, también despiertan mis alarmas.
Cabe destacar que aún no he reportado nada de todo esto.
