Share this page!

Jaime Gómez-Obregón Profile picture
Twitter logo
Feb 17 14 tweets 4 min read
¿Os gusta cómo estoy decorando esta página del Ministerio de Hacienda?

🔗 pap.hacienda.gob.es/VisorXBRL/pagM…
🤣 pap.hacienda.gob.es/VisorXBRL/pagM…
Para los que no queráis verlo en el portal de Hacienda, os lo he subido al portal del Ayuntamiento de Santander 🤣.

ftcontratacion.santander.es/f.php?h=3LXNkX…
Por cierto, este *épico* vídeo de 1996 es más profético que Los Simpson: habla de «el buen tanto por ciento» que «se lleva Jordi Pujol» y este estribillo no ha visto par desde el mester de juglaría: «Vamos compañeros, que hay que cotizar, que Rodrigo Rato tiene que cobrar». Image
¡Hacienda acaba de corregir la vulnerabilidad! Hora y media han tardado solamente. Medalla para ellos: 🥇. A ver ahora el Ayuntamiento de Santander cuánto tarda… 🤣

Voy a acabar en el maletero de un Dacia.
He sido demasiado impaciente… Tenía que haber incrustado el vídeo paródico en el portal de Hacienda tras subirlo al portal de Santander y no antes jajajaja… así en un mismo acto hubiera hermanado dos instituciones públicas a través de dos brechas de seguridad diferentes. 🤣🤣🤣
¡Que la fiesta no pare!

https://www.pap.hacienda.gob.e​s/sitios/pap/es-ES/Paginas/Busqueda.aspx?k="><svg/onload=window.location='https://www.biografiasyvidas.c​om/biografia/f/fotos/fary.jpg'>"

Para los que no se están enterando de nada… 🤣. Encontré una vulnerabilidad en el visor XBRL del Ministerio de Hacienda y la utilicé para mostrar este vídeo paródico:
Hacienda lo ha resuelto súper rápido (bueno, más que resolverlo parece que han desactivado el visor XBRL vulnerable). Pero hay otra vulnerabilidad similar en el buscador de la Intervención General de la Administración del Estado. Esta última aún está vigente.
Por otro lado, también por casualidad encontré que en la herramienta de descarga de pliegos de contratación del Ayuntamiento de Santander cualquiera puede cargar cualquiera cosa… Así que he probado a cargar el vídeo allí… Y ha funcionado 😅.
Se trata de vulnerabilidades o problemas de seguridad con los que es extremadamente difícil, quizá imposible, robar datos o cometer delitos en un lapso breve de tiempo. Por eso lo he hecho público aquí, y Hacienda ha reaccionado rápidamente. (Y el ayuntamiento estará en ello…)
Hace no tanto encontré un problema bastante más grave en el portal de una compañía aseguradora nacional. Logré descargarme pólizas de vida, cuentas bancarias, domicilios… Evidentemente lo comuniqué a la empresa ese mismo día. Lo resolvieron muy rápido y me dieron las gracias.
Y, lógicamente, con aquello no hice chanza ni lo conté por aquí. Lo que he compartido hoy es divertido, y no hay datos personales afectados: el visor XBRL de Hacienda es un instrumento para visualizar las cuentas PÚBLICAS de las empresas públicas. Son datos públicos.

EOF.
¡Aaaggh! La plataforma de Euskadi también tiene lo suyo. Basta teclear esto en el campo «texto»:

<iframe width="100%" height="640" src="https://www.youtube-nocookie.c​om/embed/C1PsVS27QOo" />

¿Se puede pasar eso por HTTP GET y hacer phishing?

contratacion.euskadi.eus/w32-kperoc/es/… Image

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Jaime Gómez-Obregón

Jaime Gómez-Obregón Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @JaimeObregon

Jaime Gómez-Obregón Profile picture
Feb 19
Alguien me ha preguntado cuál es el mayor contrato de compra de caramelos.

Por presupuesto base, es este del Ayuntamiento de Huelva. Se ha adjudicado en 105.000 € e incluye confeti y serpentinas 🎉, todo para la Cabalgata de Reyes de 2022 y 2023.

🔗 contrataciondelestado.es/wps/wcm/connec… Image
Hay muchas compras de confeti. Aquí van algunas que tengo indexadas.

Y cierro por hoy esto de Twitter, que estoy en la biblioteca programando y así no avanzo 😛. Image
¡Aaagghh! Una posdata simpáctica. ¿Habéis visto que hay un contratista que se llama «DROGAS 86» 🤣.

Estoy mirándolo —por curiosidad— y es un mayorista de droguería en Hellín, Albacete. Image
Read 4 tweets
Jaime Gómez-Obregón Profile picture
Feb 19
Explorando los contratos públicos me encuentro de todo. Compras de barcos de guerra, de croquetas, de plantas carnívoras… Veamos hoy algo desenfadado para echarnos unas risas:

👉 Por 5 pesetas, ¡contratistas chinos 🇨🇳 con nombres rarunos!

Un, dos, tres… responda otra vez. 🧵
1️⃣ LONGHUAQUFUCHENGJIAXINDATONGXUNSHEBEISHANGHANG

Las nóminas de esta empresa deben de ir en un A-3 apaisado. 🤣

🔗 contrataciondelestado.es/wps/poc?uri=de… Image
2️⃣ SHENZHENSHIFEICHUANGDADIANZISHANGWUYOUXIANGONGSI

Así me gusta: corto y fácil de recordar… 😅

🔗 contrataciondelestado.es/wps/poc?uri=de… Image
Read 6 tweets
Jaime Gómez-Obregón Profile picture
Feb 18
@JesusFase2 @PabloCamPiq @Congreso_Es @CongresoEscucha Hola, Jesús. No entiendo bien lo que pide el diputado. Los contratos están en las plataformas de contratación: los menores en la PLCSP y en las autonómicas, y los demás en los datos abiertos de la PLCSP, hasta donde yo sé. Llevo meses trabajando con esos conjuntos de datos y…
@JesusFase2 @PabloCamPiq @Congreso_Es @CongresoEscucha …y conozco ya bastante bien los vericuetos de la compleja e ineficiente Plataforma de Contratación del Sector Publico (PLCSP). Para algunos contratos remite a los portales autonómicos, pero en los datos abiertos está todo lo relevante.

En cuanto a obtener solamente los…
@JesusFase2 @PabloCamPiq @Congreso_Es @CongresoEscucha …contratos de compra de material sanitario, puede hacerse filtrando por el código CPV. Filtrando, además, por el tipo de procedimiento o por la urgencia, pueden acotarse todos los resultados a solamente aquellos urgentes o negociados sin publicidad, etcétera.
Read 18 tweets
Jaime Gómez-Obregón Profile picture
Feb 17
Uf, confirmado: acabo de encontrar un problema en el portal de contratación de Euskadi que me ha permitido obtener datos personales de un autónomo (su domicilio y teléfono). ¿Puede contactarme alguien del Gobierno Vasco y le digo qué sucede?
He borrado el tuit donde lo demostraba para no perjudicar a nadie. Cuando lo publiqué, pensaba que era el domicilio social de una empresa. Pero gracias al amigo @Xingu11060496 he visto que era el domicilio particular de una persona física (y su teléfono…)
Esta mañana divulgué también una vulnerabilidad XSS en el portal de Hacienda y una mala configuración en un subdominio del Ayuntamiento de Santander. Sobre decir que lo hago de buena fe y para que todo mejore (ambos organismos, de hecho, lo han corregido rápidamente después).
Read 5 tweets
Jaime Gómez-Obregón Profile picture
Feb 14
Estos días es mediática la salida de Albert Rivera del despacho de abogados «Martínez-Echevarría», por el que fichó en 2020. En aquel entonces se especulaba con las sinergías para el bufete de las conexiones políticas del ex líder de C's.

🧵 ¡Veamos qué dicen los datos públicos!
¿Ha tenido rédito comercial para el despacho el fichaje de Albert Rivera? En el sector privado no lo sabemos y no nos interesa pero… ¿y en las empresas y organismos públicos? ¿Se ha disparado la facturación del bufete entre las administraciones públicas?

elpais.com/economia/negoc…
El despacho «Martínez-Echevarría & Rivera Abogados» opera bajo la razón social «RIGHT OPTION, S.A.P.», con NIF A86366895.

¿Quiénes son sus administradores? La respuesta está en la sección primera del Boletín Oficial del Registro Mercantil (BORME): «Empresarios».

¡Vamos allá! 👇
Read 13 tweets
Jaime Gómez-Obregón Profile picture
Feb 13
Este finde he seguido avanzando en la funcionalidad de análisis de mi herramienta para escudriñar los contratos públicos.

Veamos los contratos de la empresa constructora COPSESA, propiedad de un ex alcalde cántabro del PP.

Constructores y política: el eterno retorno. 👇
Gracias al currele de estos últimos meses, ahora mismo puedo obtener…

✅ La composición de contratistas de cualquier organismo público. A quién compra; adónde va el dinero.

✅ La estructura de ingresos públicos de cualquier contratista. Quién vende; adónde llega el dinero.
Para la empresa «Constructora Obras Públicas San Emeterio, SA» (COPSESA) constan 88 contratos que suman exactamente 16.006.698,58 euros.

Lo interesante del análisis es ver la composición detallada de estos ingresos. ¡Vamos a verlo! 👇
Read 15 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Like this author's thread?

Get emails when @JaimeObregon has new unrolls!

Check out other threads from @JaimeObregon!

Read all threads by @JaimeObregon

:(