Hace un tiempo, encontre un agujero de seguridad en UDELAR (Universidad de la Republica), el mismo exponía dirección, fecha de nacimiento, teléfono fijo, teléfono celular, cedula de identidad, nombre completo, mail y otros datos menores de los estudiantes, egresados y profesores de la universidad.

En Abril de 2019 lo reporte al CertUy (Centro Nacional Respuesta Incidentes Seguridad Informática) Destaco su rápida respuesta, me contestaron en menos de 1 hora que iban a tomar cartas en el asunto.

Cuando los volví a contactar, me comentaron que notificaron al organismo correspondiente. Asumo que eso era todo lo que podían hacer.

Luego de eso, la URCDP se contacto con la Universidad de la república, la misma, opino que no eran datos sensibles y según veo, desestimo el tema. Ademas, dijo que era responsabilidad de los usuarios proteger esos datos con una contraseña. Pero claro, casi ninguno de esos estudiantes, docentes y egresados, son cocientes que esos datos están ahí, expuestos, para que cualquiera los tome en cualquier momento.

Imaginemos una situación, una persona X esta navegando por facebook y encuentra a otra persona Y, le interesa y dice: “estudio en udelar, voy a ver a ver donde vive”, busca su dirección y se percata que vive cerca”, va hasta su casa y luego … . Dejo el resto de la historia a su imaginación.

Entonces estoy acá, en un punto que no se como hacerles entender que no quiero que cualquiera tenga la posibilidad de acceder a mis datos porque ellos consideran que no es un “dato sensible”. No se, tal vez estoy siendo un poco exigente, al pedirle que siquiera se molesten en cuidar la información que tienen de mi. No se, ¿Que opinan ustedes?

Recuerdo que cuando lo reporte al CertUy, les di adjunto un script Python que básicamente era un: “Toma, ejecuta esto, y obtenés los datos de los egresados, estudiantes y docentes”. Cualquiera puede venir con un script como ese, meterlo en un CSV y hacer una filtración masiva.

La verdad estoy un punto muerto, la universidad se lavo las manos. Esos datos siguen ahi, sin que la gente sea consiente de que tienes que protejerlos. No podes avisar a nadie, porque avivas a los que los quieren robar. Yo lo arregle para mi (Después de todo es legal que yo acceda a mis propios datos). Ahora el problema es que lo quiero arreglar para los demás, entonces pense en un parche “casero”. Pero es ilegal que lo aplique, por que en el proceso estoy accediendo a datos de los demás.

Entonces, aqui estoy, esperando, a ver que pasa. Por mi parte, estoy atado de manos. No puedo hacer nada.