AUDITORIA SISTEMAS

Fallos de seguridad en la web de la Agencia de Protección de Datos

Fallos de seguridad en la web de la Agencia de Protección de Datos publicado el 16 Enero 2008 en Disponibilidad y Continuidad, Gestión de sistemas, Información, LOPD, Medidas de Seguridad

La web de la Agencia de Protección de Datos va lenta. Esta es la opinión generalizada de diferentes empresas que se dedican a la realización del servicio de adecuación a la LOPD. La operación más habitual que realizan los usuarios de esa web es la consulta de los ficheros que la agencia tiene inscritos.

Precisamente hoy la web de la Agencia de Protección de Datos ha fallado. Primero la lentitud extrema y después la indisponibilidad generada por la BBDD.

Durante la indisponibilidad la web mostraba el siguiente mensaje de error:

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

De hecho, esta no es la primera vez que ocurre.

Responsabilidades de la Agencia de Protección de Datos

La función general de la agencia de proteción de datos es la de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación, en especial en lo relativo a los derechos de información, acceso, rectificación, oposición y cancelación de datos.

Entre otras responsabilidades, una de las funciones de la Agencia en la que quiero incidir es en la de “Dictar recomendaciones en materia de seguridad y control de acceso a los ficheros.”

Seguridad y control de acceso a los ficheros de la Agencia de Protección de Datos

La BBDD de ficheros de la agencia contiene datos personales. Esto es así por el registro de personas física que registran ficheros en la Agencia proporcionado sus datos personales. Por este motivo los propios ficheros de la Agencia de Proteción de Datos deben garantizar las medidas de seguridad legales y derechos de los afectados.

No solo esto sino que por la responsabilidad de facilitar las herramientas de consulta de los ficheros inscritos debe garantizar la disponibilidad y la continuidad de su web.

Una de las “best practices” en seguridad es la de utilizar productos con contratos de soporte y con las actualizaciones de seguridad aplicadas. Por esto sorprende que en la indisponibilidad detectada hoy se observa que utilizan una BBDD Oracle de la que Oracle ya no da soporte.

Warning: ocilogon(): _oci_open_server: ORA-12535: TNS:operation timed out in /prepro/servicios/ ftp/ftpapd_c/web/gestor/php/adodb/ drivers/adodb-oci8.inc.php on line 228

Fatal error: Call to a member function on a non-object in /prepro/servicios/ ftp/ftpapd_c/web/gestor/ php/funciones.inc.php on line 42

El nombre de OCI8 se utiliza para nombrar el software cliente para una BBDD Oracle 8. Si miramos en Oracle vemos que Oracle 8 no es un producto del que se dé ya soporte y de la que se conocen diferentes vulnarabilidades.

Esto sólo mirando errores en indisponibilidades, no quiero buscar más y mejor reir que llorar. Por lo menos esparemos que no utilizen “Windows 95 Server” con “IIS 1.0″.

9 comentarios

1. Fallos de seguridad en la web de la Agencia de Protección de Datos

   Hoy la web de la Agencia de Protección de Datos ha fallado. Primero la lentitud extrema y después la indisponibilidad generada por la BBDD. Una de las “best practices” en seguridad es la de utilizar productos con contratos de soporte y con las ac…

   Trackback por meneame.net — Enero 16, 2008 @ 3:10 pm

2. 

   Es solo uno más de los desproopitos de la LOPD

   Comentario por duhu — Enero 16, 2008 @ 4:57 pm

3. 

   oci8 no quiere decir que estén usando la versión 8 de Oracle, sino la versión 8 de OCI, Cliente Instántaneo de Oracle, que soporta hasta la versión 10 de la BD, según se explica, por ejemplo, en http://www.php-es.com/ref.oci8.html (información encontrada mediante una simple búsqueda en Google).

   Comentario por rpajares — Enero 16, 2008 @ 11:01 pm

4. 

   Lo mejor es que los errores apuntan a archivos que cuelgan de “/prepro”… que intuyo será “preproducción”. Mu bien, poniendo preproducción en Internet llegaréis lejos…

   Comentario por Rafa — Enero 17, 2008 @ 10:17 am

5. 

   #3 Es cierto OCI es el software cliente. Tienen el cliente de Oracle 8 y si tienen el cliente… ¿No van a tener la BBDD?
   Si tienen el cliente de la 8 y una BBDD de la 10 no me extraña que vaya lenta la web. Deben tener un tinglao de versiones impresionante.

   Comentario por admin — Enero 17, 2008 @ 10:47 am

6. 

   #4 Quiero pensar que estaban realizando tareas de mantenimiento.

   Comentario por admin — Enero 17, 2008 @ 10:48 am

7. 

   Llevo meses intentando que me borren de un registro en el que me ha introducido basándose en que pueden tomar mis datos de la guiá telefónica.
   Estos se niegan borrarme porque no les envió la fotocopia del DNI. A ver cogen de la guía mi nombre, dos apellidos y dirección y teléfono, y yo para borrarme tengo que darle mi número de DNI, foto fecha de nacimiento y encima dicen que no se puede actuar porque no presento lo que me piden.
   Me pidieron el DNI, para introducirme en ese fichero. Los de la APD, son uno burócratas que sólo viven del cuento y no protegen a nadie.

   Comentario por Manuel — Enero 17, 2008 @ 11:55 pm

8. 

   Aparte de los errores en su BD. son como todo tipo de burocracia muy lentos. Desde que les envías el fax para inscribir una BD dicen que tardan 30 ó 40 días en darte el ok. Seguro que en Irlanda tardan menos.

   Comentario por Posicionamiento valencia — Febrero 15, 2008 @ 12:33 pm

9. [...] » noticia original [...]

   Pingback por Recuperacion de datos » Blog Archive » Fallos de seguridad en la web de la Agencia de Protección de Datos — Diciembre 29, 2008 @ 4:01 am

Suscripción RSS a los comentarios de esta entrada.

Disculpa, los comentarios están cerrados.