CONFEDERACIÓN GENERAL DEL TRABAJO
Sección sindical de CGT-RTVE, local sindical de Prado del Rey, telf:91 581 75 78
BRECHA DE SEGURIDAD EN LA PLATAFORMA DE OPOSICIONES.
No es un ataque, es un fallo de diseño.
El día 7 agosto nos encontramos un preocupante artículo en un medio digital en el que se hablaba de una brecha de seguridad en la plataforma de oposiciones que CRTVE ha subcontratado a la empresa CEGOS. Desde CGT nos pusimos en contacto con el autor del artículo y se nos pusieron los pelos de punta al comprobar que dicha brecha de seguridad pudiera ser debida a un fallo de diseño y que podría haber expuesto la información de TODOS los usuarios durante días, quizá semanas. O incluso meses.
Nos consta que el autor del artículo comunicó el día 6 de agosto a la Corporación (concretamente a la Dirección de comunicación) su intención de hacer público el mencionado artículo y dio los detalles, omitidos en el mismo, sobre la magnitud y facilidad de acceso a la brecha de seguridad de la plataforma.
Ayer, día 7 de agosto, RR.HH. se puso en contacto con la adjudicataria de la plataforma, CEGOS, y se cerró el acceso a la plataforma durante unas horas en las que afirman haber subsanado el problema.
Hoy, día 8 de agosto, tras la petición de CGT, el Comité Intercentros se ha reunido con la Dirección. Según nos han expuesto, CEGOS relata que un bot programado en Python tuvo acceso a 958 documentos revelando datos personales de 57 personas. Desde CGT, no dudamos que alguien haya intentado automatizar el proceso de extracción de datos mediante este bot y, efectivamente, haya tenido acceso a la información de esas personas. Sin embargo, dada la facilidad de acceso comprobada por el periodista y el hecho de que la información le llegase de opositores que, por casualidad, tuvieron acceso a datos ajenos, nos tememos que la información expuesta afecte a todos los opositores y la brecha de seguridad haya estado presente durante mucho más tiempo del que CEGOS pretende. Además, lo detectado por CEGOS son descargas, pero una captura de pantalla por ejemplo, no es una descarga. Así se lo hemos hecho saber desde CGT para que las investigaciones que se lleven a cabo se retrotraigan en el tiempo y se compruebe la duración de la exposición de la información y a cuanta gente ha afectado.
En este sentido nos preocupan cuatro aspectos fundamentales:
- La exposición de datos personales que faciliten la localización de quienes pudieran estar involucradas en procesos de acoso o similar y, por lo tanto, pueda poner en peligro la integridad física de las mismas.
- La exposición de datos personales de identificación y bancarios que pudieran convertir en víctimas de fraude a algunos/as de los afectados/as.
- La depuración de responsabilidades internas en RTVE por haber, primero, externalizado unos procesos que nunca debieron externalizarse. Segundo, la elección continuada de una empresa que ya había tenido problemas en procesos similares tanto en Metro de Madrid como en la Generalitat de Catalunya. Y tercero, la toma de medidas que releven a las personas encargadas de esas decisiones, pues no puede ser que una Corporación pública este gestionada por personas que, en el mejor de los casos, demuestran un alto grado de ineptitud para la toma de decisiones y, en el peor, sometan esas decisiones a intereses particulares ajenos a los de la Corporación y la ciudadanía a la que sirve.
- El anonimato de los candidatos/as ha quedado comprometido. El nombre y apellidos de los aspirantes junto con su código ha sido también desvelado afectando a la imparcialidad del proceso.
Nos alegramos de que la Corporación haya puesto este asunto en manos de las autoridades competentes. Esperamos que se depuren responsabilidades para este desastre que deja potencialmente expuestos los datos personales de miles de opositores y ensucia, una vez más, la reputación CRTVE.
Añadir nuevo comentario