¿Cómo reportar anónimamente bugs a ministerios y entidades gubernamentales?

TheFuchsen dijo:

Contáctanos

digital.gob.cl

Haz clic para expandir...

Luego comento como me fué. Si no pasa nada, voy a etiquetar a mr merluzo con capturas en twitter y luego reenviaré todo a algún canal de turno para que se entretengan en los matinales. Me voy a reir cuando la karen y el neme hagan una mofa de la wea...

Seguro que el presidente ve esas weas

Reporta acá

Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.

Si no te dan pelota mándalo a transparencia.

Mañana averiguo el canal formal de reporte de brechas de seguridad y te cuento.

Me respondieron , pensé que sería mas tardado, sobre todo por la hora, seguro el men del otro lado tiene art 22. Bue, tengo luz verde para buscar en todas las plataformas del gobierno.

A ver si construyo el data-leaker y lo mando con un vídeo pa que se tomen enserio todo. En una desas hago el leak y lo mando tambien je

Carlos E. Flores dijo:

Con la tele.

Si no sale en los medios, 99.99% de seguridad de que no harán nada con tu info. Es más, seguro ya saben.

Haz clic para expandir...

La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.

Zuljin dijo:

La verdad es que son bien hueveados con la cyber seguridad y reaccionan rápido siempre y cuando sea algo que puedan arreglar los informáticos sin incurrir en plata (el departamento de TI siempre somos los hoompa loompa de la huea, seres sin sentimiento).

Si es algo que requiere presupuesto (como por ejemplo reemplazar una tecnología obsoleta) o medidas de seguridad de índole administrativo (que la jefaturas autoricen un cambio de comportamiento de los funcionarios ) la huea definitivamente se va a demorar o hasta olvidar.

Haz clic para expandir...

Será de ahora, porque la última vez que revisé en sii, faltaban validaciones en backend... actualmente en términos de software, le pusieron color con la clave única, pero realmente al igual que nintendo, dejaron tirado todo el backoffice.

Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho... banco estado por ejemplo, te saca a la menor sospecha de ser un bot, y su app no te deja instalar tienes root en el tel, y el source viene ofuscado.

freishner dijo:

Validaciones tan sencillas como evitar que te muevan la sesión de browser o de ip por ej, nintendo no las tiene... pero en el login, tienen 2FA, validación de región, recaptcha... como que las cosas no concuerdan mucho...

Haz clic para expandir...

Pero igual ahí va más en politicas de quienes están a cargo que sacrifican seguridad por comodidad de usuario. Si cambias "nintendo" por "youtube" tienes el mismo texto sin perder sentido.

Antes de que salga alguien a rebatirme de que está mal, puta, yo no soy el que manda en alphabet/youtube para cambiar eso (personalmente, digo que me gustaría que tuviese esas validaciones, pero despues recuerdo que Directv me desactiva televisores por que miré feo a la app y me cuestiono que es mejor)

dwyer dijo:

Seguro que el presidente ve esas weas

Reporta acá

CSIRT de Gobierno -

Sitio web oficial del CSIRT del Gobierno de Chile

www.csirt.gob.cl

Haz clic para expandir...

Tal como menciona @dwyer , el procedimiento va por acá:








Actualmente no existe un SLA de tiempo de respuesta como si lo hay con consultas de transparencia (en que por ley deben contestarte en un número determinado de días), pero en lo administrativo los tipos del CSIRT le derivan el aviso al encargado de la institución que generalmente es una jefatura media-alta y éste debe hacerse responsable.

Según me cuentan acá, con la ley de cyberseguridad esto debería agilizarse y habría más presupuesto.

Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.

Oskianotsner dijo:

Todos los servicios públicos están super saltones con los hackeos que han habido, no me extrañana que anden con mejor iniciativa sobre el tema.

Haz clic para expandir...

Apoyo, Aduanas y Mercado Público estuvieron pal pico hace poco con ataques cibernéticos y sistemas caídos.

Un update. Hace unos días me llegó el acuso recibo de los correos, de ahí no supe mas. Mientras tanto, traten de no cargar sus datos personales en plataformas relacionadas a trámites en línea del gobierno, porque dichas plataformas ya tienen años creadas y si alguien mas llegó primero (que es lo usual), pudieran ustedes ser objeto de phishing dirigido, ya que datos como fecha de nacimiento, previsión, defunción y otros mas importantes van junto al rut, nombre, tel, email...

Algunas de las pantallas de actualización se ocultan con CSS, o eliminándolas manualmente con la consola del browser. Otras te obligan a ingresar datos con redirecciones.

Tengo el desagrado de comentar que ninguna de las weas que he reportado, han sido reparadas, ha pasado mas de un mes y los datos de todas las personas (incluyendome), están ahí esperando a ser recolectados por el web scraper hindú que le hace competencia al colega que trabaja desde Venezuela.

y dp se preguntan pq les llega un correo supuestamente del SII con número de rut y nombre correspondiente...