Les voy a mostrar una "característica" de Lex 100, el sistema de expedientes del Poder Judicial de la Nación. Puede verificarlo paso por paso cualquier abogado con acceso al mismo. (Y no, no es ningún secreto. Muchos lo saben y LO USAN). 👇 
1) Para ingresar al sistema, un abogado utiliza su CUIT o CUIL y su contraseña.
2) Una vez iniciada la sesión, el Lex 100 muestra las causas a las que tiene acceso. Recordemos que las causas penales y de familia NO SON PÚBLICAS, y solo pueden acceder al expediente las partes.
Primer problema: El sistema no usa HTTPS (al final veremos qué posibilita esto).
Primer problema: El sistema no usa HTTPS (al final veremos qué posibilita esto).
3) Al entrar a una causa, el abogado puede ver los documentos que forman el expediente. Básicamente, un listado de archivos PDF.
Y sí, el Lex 100 sigue sin usar HTTPS...
Y sí, el Lex 100 sigue sin usar HTTPS...
4) Normalmente, el abogado hace clic en un PDF y el sistema se lo muestra. Pero... ¿qué pasa si hace clic derecho y elige "Copiar dirección del enlace"?
5) Obtiene un enlace que puede publicar en la web, o pasárselo a cualquiera.
Y adivinen si cualquiera con el enlace puede abrir el documento (parte de un expediente posiblemente privado). Sí, se puede. Sin ningún problema.
Y adivinen si cualquiera con el enlace puede abrir el documento (parte de un expediente posiblemente privado). Sí, se puede. Sin ningún problema.
CONCLUSIÓN: El sistema del PJN no autentica ni autoriza a quien accede a cada documento de los expedientes (y ni siquiera lleva registro de los accesos).
Y además usa HTTP en vez de HTTPS, con lo cual...
Y además usa HTTP en vez de HTTPS, con lo cual...
Cualquiera "en el medio" puede:
a) Ver a qué causas/expedientes/documento accede un abogado.
b) Ver el contenido al que accede.
c) Modificar dicho contenido, mostrándole al abogado algo falso o... inyectándole malware (recuerden que, encima, son archivos PDF).
a) Ver a qué causas/expedientes/documento accede un abogado.
b) Ver el contenido al que accede.
c) Modificar dicho contenido, mostrándole al abogado algo falso o... inyectándole malware (recuerden que, encima, son archivos PDF).
ACLARACIÓN: Esto lo saben muchos y LO USAN. Una rápida búsqueda en Google muestra una buena cantidad de enlaces directos a documentos del Lex 100, incluidos por ejemplo hasta en el Boletín Oficial de Jujuy. O guardados en archive.org.
Así que no estoy mostrando nada que muchos no conozcan (ni "hackeé" nada, así que ahórrense el allanamiento). Esto se conoce y seguramente se usa para filtrar partes de expediente. Y quién puede asegurar que no se usa también para distintos ataques.
FIN
FIN
No soy abogado (ni lo quiero ser), pero me parece que el sistema del Poder Judicial de la Nación viola en CPPN.
SUGERENCIA a los abogados que usen el Lex 100 del PJN: NUNCA usen una red no segura (Wi-Fi público, de bares u hoteles, por ejemplo) para acceder al sistema. Al menos eso...
• • •
Missing some Tweet in this thread? You can try to
force a refresh
