Fallo de seguridad en LexNET deja al descubiert miles de casos judicia

MaTrIx

Un fallo de seguridad en LexNET, la red del Ministerio de Justicia que todos los abogados de España están obligados a utilizar para presentar escritos y relacionarse con la Administración, ha dejado al descubierto miles de casos, documentos, notificaciones y expedientes.

La brecha fue comunicada durante la mañana de este jueves al departamento que dirige Rafael Catalá por el decano del Colegio de Abogados de Cartagena, José Muelas. La dimensión de la misma obligó a suspender el servicio entre las 15.35 y las 16.35 horas, según fuentes oficiales, y a realizar un examen del sistema durante más de cinco horas por parte de un equipo encabezado por el subdirector general de Nuevas Tecnologías del Ministerio, José Luis Hernández.

Ya por la tarde, el propio Ministerio comunicó que la "vulnerabilidad" identificada había sido resuelta y que LexNET funcionaba "con normalidad" después de la "parada técnica" realizada.

Pruebas y datos al alcance de cualquiera
El agujero de seguridad, calificado por los abogados consultados por 20minutos como "extremadamente grave", permitiría que un usuario del sistema (unos 150.000, según fuentes no oficiales) consultase los casos de otros letrados.

LexNET es la vía de comunicación de los profesionales con los juzgados, por lo que la entrada en los buzones ajenos (que constituye un delito) daría entrada a las pruebas, documentos, recursos, mensajes o datos personales (números de identificación, cuentas bancarias, domicilios, etc.) de los implicados en cada procedimiento en curso.

"Se ha descubierto un fallo de tal magnitud que permite a cualquier usuario acceder a todas las carpetas del resto de abogados de España y no sólo consultarlas, sino incluso descargar notificaciones (...) Piensen cuán divertido puede resultar leer las resoluciones de determinados procesos que están en la mente de todos", advirtió el decano de los abogados de Cartagena tras advertir a las autoridades.

El Ministerio ha negado que cualquier abogado pudiera acceder a cualquier expediente, aunque no ha detallado el alcance del fallo, si se han producido entradas ilegales o durante cuánto tiempo ha permanecido expuesto el sistema, que fue implantado en enero de 2016 como parte de la apuesta del Gobierno por el 'papel cero' en los juzgados.

http://m.20minutos.es/noticia/3101320/0/fallo-seguridad-lexnet-ministerio-justicia-cados-judiciales/?utm_source=Facebook-20minutos&utm_medium=Social&utm_campaign=Postlink

Una pregunta a quien entienda ¿que implicaciones puede tener este agujero?

Karch

pongan en marcha las trituradoras y los martillos!

1
RusTu

¿MV abogados están vivos? Que se pronuncie alguno xD

kraqen

Y eso que LexNet todavía no se había implantado en bastantes lugares.

OneKAME

Pues muy fácil.. acceso a toda clase de documentación, demandas, recursos, sentencias....incluso de aquellos casos que están bajo secreto de sumario.

Sin contar claro está toda la información sensible que ello conlleva.

En cualquier caso, al ser un fallo accesible solo para usuarios de la plataforma, el posible daño se minimiza sustancialmente...al estar plenamente identificados los distintos accesos ilegales que se hubieran podido producir.

3 respuestas
B

Puto LExnet, acaban de descubrir que cualquier usuario podía hacer lo mismo que el Ministerio de Justicia, acceder a cualquier expediente.

Básicamente llo que dice Onekame me adhiero y hago mías las manifestaciones realizadas por #5 para solicitar, previo recibimiento del hilo a prueba, una manita íntegramente estimatoria y condene en costas a RayF.

1
Mirtor

La seguridad informática a nivel de empresas públicas, ministerios y tal da risa, por no decir miedo.

1 respuesta
preguntitas

Preveo anulacion de los juicios gurtel...

1 1 respuesta
OneKAME

#7 discrepo... precisamente se pasan de seguros y por eso los sistemas importantes tipo seguridad social, agencia Tributaria siempre petan en campaña....

2 respuestas
Mirtor

#9 Alguno habrá que se salve, pero... ¿Te has registrado en el Ministerio de Educación para, por ejemplo, pedir beca? Porque cuando lo haces te mandan un e-mail con la contraseña que te has puesto. En texto plano.

1
Soy_ZdRaVo

Que lexnet es una putisima mierda no es noticia, menos mal que no me encargo yo de este tipo de cosas y lo hacen los procuradores del despacho porque menuda mierda de sistema...

#5 Eso de que el fallo hace que solo sea accesible para usuarios de la plataforma... pues habrá que verlo, si tiene un fallo tan bestia estoy seguro de que a poco que alguien medio comentente le haga una auditoría encuentra algún bug para o bien hacerse pasar por un usuario o entrar sin usuario.

#9 lo dices basándote en tus conocimientos en auditoría de seguridad? no se los de Hacienda, pero los de la Agencia de Protección de Datos no cumple ni de coña sus circulares sobre como proteger tu sistema.

#8 por? Si aqui puedes ver las notificaciones de una parte a la otra, nada de estrategias de defenda que si que supondría vulneración de derechos fundamentales.

2 respuestas
OneKAME

#11 no hay empresa que cumpla los estándares de la lopd, porque sería una puta locura....se pasaron de diligentes... obviamente me refiero a criterios de estándares informaticos, esto es, protocolos https...encriptado de comunicación, sistemas de clave segura, identificación por certificado, etc.

En definitiva, a nivel de seguridad, es muy seguro...pero no es perfecto. Sea como sea, muy por encima de la media. Cosa distinta es que va como el culo siempre y es por la mala optimización de todas esas capas...pero eso es otra historia.

B

#11 Tan mal no funciona (cuando funciona), pero el día que le da por tener errores.... le pueden dar por el culo, y para presentar papeles de mierdi es genial.

Karch

de octubre del 2016

10 1 respuesta
ReBeLStRiKe

Que exista una brecha de seguridad de estas características en una plataforma judicial solo podría ser digno de un país de pandereta como el nuestro.

Hace unos meses cerraron la plataforma de LexNet Abogacía porque era fallo tras fallo y estaba constantemente en mantenimiento, motivo por el cual a los abogados nos derivaron a LexNet Justicia (LexNet), que es la que usan los procuradores.

Todo esto acompañado con el lema "PAPEL CERO", un circo tecnológico, porque después de tener que escanear toda la documentación que acompaña a la demanda, cumplimentar los formularios y lidiar con Java, una vez tienes tu demanda presentada telemáticamente, tienes TRES DÍAS para acudir al Juzgado a presentar EN PAPEL la demanda que has presentado por LexNet, junto con la documentación adjunta y las copias pertinentes en función de las partes intervinientes, porque si no lo haces, te la inadmiten. UNA VERGÜENZA.

Y para colmo, LexNet es una plataforma controlada por el Ministerio de Justicia. El Consejo General del Poder Judicial no controla el sistema. Si Montesquieu levantara la cabeza...

En el vídeo de #14 David Bravo lo explica todo con lujo de detalles.

1
Link34

Quien ha instigado esto? Oh, el PP, por qué no sorprende a nadie? Por qué no sabiamos antes de la existencia de esta burrada que se pasa descaradamente la división de poderes? Oh claro, porque es el PP; el hecho de que tenga un fallo de seguridad no es sino una gilipoyez comparado con el hecho de que esta cosa exista

Que vergüenza de país joder

Karch

El Ministerio de Justicia convoca este domingo un gabinete de crisis tras el fallo de seguridad en LexNet

1 respuesta
MaTrIx

#17 parece que al final no va a ser precisamente una bobada

B

Es que, el agujero, se ha llevado por delante varios artículos de la LOPD.

Pero aquí ni dimite nadie ni paga nadie porsus errores.

PrinceValium

como mola no tener problemas judiciales

ReEpER

tranqui, es mas importante hablar de en que gastamos el dinero de las urnas en catalunya

Karch

Ahi teneis un hilo de twitter de como llevan avisando desde febrero del 2016 tanto asociaciones de abogados, partidos como Ciudadanos y Podemos, haced click y seguid hacia abajo las respuestas

3 meses después
Karch

Catalá oculta que el fallo de LexNET propició más de 400 descargas de documentos confidenciales

Según ese documento, Catalá acudió a la cita acompañado de varios cargos del Ministerio y de dos asesores. "Nos han dado cuenta de que han existido 73 accesos indebidos con descargas de documentos, en las que también han intervenido abogados, procuradores y graduados sociales, habiéndose producido 432 descargas ilegales", dice ese resumen de la reunión.

La intervención del ministro en ese encuentro desveló que durante la brecha de seguridad, usuarios de la plataforma descargaron información confidencial de sumarios judiciales secretos, algo que ni Catalá ni su departamento han admitido públicamente. Entre los documentos a los que pudieron acceder hay autos de jueces y escritos de abogados con información sobre sus clientes, además de documentación aportada por Policía y Guardia Civil sobre sus investigaciones para causas judiciales.

4 meses después
P

La AGPD (Agencia Española de Protección de Datos) sanciona al Ministerio de Justicia por falta muy grave en relación con los fallos de seguridad del sistema LexNet detectados este pasado mes de julio.

http://www.agpd.es/portalwebAGPD/resoluciones/admon_publicas/ap_2018/common/pdfs/AAPP-00066-2017_Resolucion-de-fecha-15-03-2018_Art-ii-culo-9-LOPD.pdf

2 respuestas
Slade_Wilson

Que curioso, yo que soy abogado no puedo acceder a Lexnet desde mi PC porque se me actualizó el Java y es incompatible con la íltima versión. Y un hacker entra y se descarga todos los expedientes

2 respuestas
B

#24 esto, de facto, es como si cojo 5 euros de la cartera y los meto en el bolsillito pequeño de los vaqueros.

Ya podrían inhabilitar al responsable o abrirle diligencias penales, joder con la irresponsabilidad de la AGE.

2 respuestas
squ4r3

mediante la modificación deliberada de la dirección URL del navegador,
cambiando los dígitos de identificación del usuario, se podía acceder a los
buzones de otros usuarios.

Pues hacker, lo que se dice hacker, tampoco había que ser xDDDDD

allmy

#24 El Estado multando al estado, le paga la multa al estado. Y todo acaba en 0.

#26 Podrían empezar por dejar de dar contratos a Indra para que produzca mierda a precio oro.

1 respuesta
kroaton

#25 Y desde Mac flipas... yo se lo tuve que poner a mi mujer y puff... No vale Safari, no vale Chrome, no vale Opera: sólo Firefox.

Ojo, no vale la última versión de Firefox, tiene que ser el Firefox ESR que es un Firefox para empresas o algo así. Y ojo! No valen las últimas versiones, sólo valía la 40 creo recordar.

Luego el puto Java, lo mismo, una versión concreta, como actualices has muerto.

Y todo te irá bien si has conseguido instalar bien los putos certificados, que es otra odisea más.... vamos, superfácil para un abogado tener que saber toda esa mierda.

1 respuesta
B

#29 ojo, yo desde el Mac puedo entrar a lexnet pero no puedo firmar digitalmente, es decir, entro y veo pero no puedo recibir/enviar notificaciones o escritos.

#28 también, pero es que es acojonante la falta de responsabilidad.