No hubo hackeo a Notimex; su sitio es inseguro para suscriptores – Circulo Digital

close
No hubo hackeo a Notimex; su sitio es inseguro para suscriptores
CIUDAD DE MÉXICO, 18 de mayo, (ESPECIAL / GILDO GARZA).–En un análisis de vulnerabilidades al sitio de la Agencia de Noticias del Estado Mexicano (Notimex) demuestra una debilidad en seguridad cibernética, desde el diseño de su web, ya que no cuenta ni con certificados de seguridad y mucho menos cuidado de datos cifrados o personales.

Para sus más de 420 suscriptores, esto representa una vulneración a sus datos privados y cifrados, ya que los hackers podrían utilizar dicho sitio para revelar información delicada, ya que muchos son empresarios o medios informativos a nivel nacional e internacional, gobiernos o instituciones los cuales comparten cientos de miles de datos en un sistema obsoleto y frágil, creado en el año 2002 y el cual solamente ha sido modificado en su imagen, pero no en su seguridad.

La inseguridad del sitio radica en su falta de atención y de un sistema de seguridad así como de un certificado SSL (Secure Sockets Layer) es un título digital que autentifica la identidad de un sitio web y cifra con tecnología SSL la información que se envía al servidor. Un certificado sirve como un “pasaporte” electrónico que establece las credenciales de una entidad en línea al hacer negocios en la Web y conservar el cifrado de datos privados correctos.

Sin embargo, el portal, a pesar de que no se encuentra firmado Domain Name System Security Extensions firmas digitales en cada una de las partes implicadas: dominio, servidor DNS y Registry, no ha sido atacado en los últimos 12 meses, según escaneo ni minería de datos.

Luego de 88 días de huelga del Sindicato Único de Trabajadores de Notimex, publicaron desde su cuenta en twitter @sutnotimex#ForoVirtual: Análisis caso @Notimex:

El hackeo, otra mentira de Sanjuana: Adriana Urrea

La periodista Adriana Urrea, quien lleva el movimiento de huelga con más de 80 compañeros reporteros, señala la situación que manifestó su directora Sanjuana Martínez Montemayor luego de sostener que el portal de la Agencia Informativa había sido atacado; esto es completamente falso ya que no se muestran irrupciones ni en el dominio ni en su hospedaje o servidor, ya que todo ataque deja una firma electrónica.

 

Vulnerabilidades:

Domain Name (Nombre de dominio): notimex.gob.mx

Registrar WHOIS Server (Servidor WHOIS del Registrar): whois.akky.mx

Updated Date (Fecha de última modificación): 2020-04-28T16:06:52-0500

Creation Date: 2002-08-22T15:34:17-0500

Registrar IANA ID (Registrar IANA ID): 1705

Domain Status: clientTransferProhibited

Registrant Organization (Registrante – Organización): gob.mx Agencia de Noticias del Estado Mexicano NOTIMEX

Registrant City (Registrante – Ciudad): Alcaldía Cuauhtémoc

Registrant State/Province (Registrant – Estado/Provincia): Ciudad de México

El escaneo automatizado detecta software obsoleto en el sitio siendo inseguro para lectores.

Las actualizaciones de seguridad que faltan hacen que el sitio de noticias sea sumamente vulnerable para ataques de Phreakers, Trashing, Pharming y Phishing.

Recomendaciones TLS (Transport Layer Security (TLS) o seguridad en capas de transporte: el protocolo criptográfico que garantiza las comunicaciones en Internet)

Campo de entrada de contraseña detectado en una página HTTP sin cifrar. Utilice el protocolo HTTPS para proteger los formularios de inicio de sesión ya que es altamente vulnerable para todos los suscriptores que ingresan al sitio en las siguientes ligas las cuales se encuentran sin seguridad y son perceptibles a la irrupción electrónica y robo de datos:

http://www.notimex.gob.mx/

http://www.notimex.gob.mx/.git/HEAD

http://www.notimex.gob.mx/404javascript.js

http://www.notimex.gob.mx/404testpage4525d2fdc

http://www.notimex.gob.mx/audios

http://www.notimex.gob.mx/avisoPrivacidad

http://www.notimex.gob.mx/fotos

http://www.notimex.gob.mx/infografias

http://www.notimex.gob.mx/notas

http://www.notimex.gob.mx/videos

La versión HTTPS de este sitio web no es accesible: se agotó el tiempo de espera. Considere configurar HTTPS para evitar la advertencia del navegador “No seguro”, además de modificar el CMS para corregir vulnerabilidades y proteger datos encriptados.

No se detectó el firewall de la aplicación del sitio web. Instale un WAF basado en la nube para evitar ataques de sitios web y ataques DDoS.

Headers de seguridad

Falta el header de seguridad para la protección de ClickJacking . Alternativamente, puede usar Content-Security-Policy: frame-ancestors ‘none’.

Falta el header de seguridad para evitar la detección del tipo de contenido .

Falta la directiva de Política de Seguridad de Contenido. Recomendamos agregar las siguientes directivas CSP (puede usar default-src si todos los valores son iguales): script-src, object-src, base-uri, frame-src

Se muestran las headers  predeterminadas del servidor. Su sitio muestra headers  predeterminadas de su servidor web .

Versión de PHP filtrada. Su sitio muestra su versión de PHP en los encabezados HTTP. Por favor conjunto expose_php = Off.

Análisis de vulnerabilidad y recomendaciones realizados en escaneo de 12 minutos, herramientas utilizadas:

SQLMap, Graber, Zed Attack Proxy en la plataforma de minería de datos Kali Linux.

Investigación y análisis realizado por Gildo Garza Herrera.

Tags : Adriana Urreagildo garzaHackeohackerinseguroNotimexPrincipalSanjuana Martínezsitio websuscriptoresvulnerabilidad