Hacker cordobés demostró cómo duplicar un DNI para hacer compras y sacar préstamos
Durante el evento internacional de seguridad informática Eko Party, el investigador Dan Borgogno demostró una seria falla de seguridad en la versión digital del DNI de la app oficial Mi Argentina.
------------------ publicidad ------------------
La app Mi Argentina permite que todos los mayores de 14 años, nacionales o extranjeros con residencia definitiva o temporaria, puedan llevar la identidad en el teléfono celular con la misma validez que el DNI tarjeta.
En ese marco, el especialista Dan Borgogno remarcó que la vulnerabilidad hallada se dan la app del sistema operativo Android.
"Los hackers queremos cambiar el concepto mal visto que se tiene sobre nosotros. Justamente trabajamos para proteger los datos de la gente", indicó en Crónica Matinal, por Canal 10.
"Lo que yo encontré es que uno puede personificar a cualquier persona duplicando el DNI y ese problema lo reporté", señaló.
¿Cómo es el peligro de hackeo?
El experto en seguridad informática remarcó que esta falla se conoce como IDOR que son las siglas en inglés de Referencia de Objeto Directo.
Esta vulnerabilidad permite acceder a datos que deberían estar protegidos, lo cual representa de por sí una falla de seguridad porque exponía información de los usuarios.
Se trata de una referencia a un objeto de implementación interna, tal como un archivo o llave de base de datos, se expone a los usuarios sin ningún otro control de acceso. Según el curso de protección de datos personales, el atacante puede manipular esas referencias para obtener acceso a los datos no autorizados.
"Cuando aparece el concepto veo que la única manera es mostrar el DNI y ya. Android permite, si esta rooteado, cambiar muchas cosas. Uno puede lograr que la app se comporte como uno quiere, más allá de las limitaciones. Se podía mostrar datos de otros, pude lograr que se genera el DNI de cualquier persona y así generé uno totalmente falso, el otro gran problema es que la validación es solo mostrar la pantalla", dijo al sitio InfoTechnology.
"Cuando alguien lo ve no sabe si ve la app original u otra. Conceptualmente la app no esta bien hecha, ya sabia que era vulnerable solo por como funcionaba", explicó
Finalmente, Borgogno destacó que, tras su investigación, "se arregló la exposición de datos con la app Mi Argentina".
