Para sus más de 420 suscriptores, esto representa una vulneración a sus datos privados y cifrados, ya que los hackers podrían utilizar dicho sitio para revelar información delicada, ya que muchos son empresarios o medios informativos a nivel nacional e internacional, gobiernos o instituciones los cuales comparten cientos de miles de datos en un sistema obsoleto y frágil, creado en el año 2002 y el cual solamente ha sido modificado en su imagen, pero no en su seguridad.
La inseguridad del sitio radica en su falta de atención y de un sistema de seguridad así como de un certificado SSL (Secure Sockets Layer) es un título digital que autentifica la identidad de un sitio web y cifra con tecnología SSL la información que se envía al servidor. Un certificado sirve como un «pasaporte» electrónico que establece las credenciales de una entidad en línea al hacer negocios en la Web y conservar el cifrado de datos privados correctos.
Sin embargo, el portal, a pesar de que no se encuentra firmado Domain Name System Security Extensions firmas digitales en cada una de las partes implicadas: dominio, servidor DNS y Registry, no ha sido atacado en los últimos 12 meses, según escaneo ni minería de datos.
Luego de 88 días de huelga del Sindicato Único de Trabajadores de Notimex, publicaron desde su cuenta en twitter @sutnotimex#ForoVirtual: Análisis caso @Notimex:
«Hoy ingresó la policía cibernética al edificio de @Notimex para investigar un supuesto hackeo, la diligencia duró minutos, ya que no hay condiciones para hacerla, pues se ha sacado equipo»: @AdysUrrea, secretaria general del #Sutnotimex pic.twitter.com/67dd3qicUG
— SUTNOTIMEX (@sutnotimex) May 18, 2020
El hackeo, otra mentira de Sanjuana: Adriana Urrea
La periodista Adriana Urrea, quien lleva el movimiento de huelga con más de 80 compañeros reporteros, señala la situación que manifestó su directora Sanjuana Martínez Montemayor luego de sostener que el portal de la Agencia Informativa había sido atacado; esto es completamente falso ya que no se muestran irrupciones ni en el dominio ni en su hospedaje o servidor, ya que todo ataque deja una firma electrónica.
Vulnerabilidades:
Domain Name (Nombre de dominio): notimex.gob.mx
Registrar WHOIS Server (Servidor WHOIS del Registrar): whois.akky.mx
Updated Date (Fecha de última modificación): 2020-04-28T16:06:52-0500
Creation Date: 2002-08-22T15:34:17-0500
Registrar IANA ID (Registrar IANA ID): 1705
Domain Status: clientTransferProhibited
Registrant Organization (Registrante – Organización): gob.mx Agencia de Noticias del Estado Mexicano NOTIMEX
Registrant City (Registrante – Ciudad): Alcaldía Cuauhtémoc
Registrant State/Province (Registrant – Estado/Provincia): Ciudad de México
El escaneo automatizado detecta software obsoleto en el sitio siendo inseguro para lectores.
Las actualizaciones de seguridad que faltan hacen que el sitio de noticias sea sumamente vulnerable para ataques de Phreakers, Trashing, Pharming y Phishing.
Recomendaciones TLS (Transport Layer Security (TLS) o seguridad en capas de transporte: el protocolo criptográfico que garantiza las comunicaciones en Internet)
Campo de entrada de contraseña detectado en una página HTTP sin cifrar. Utilice el protocolo HTTPS para proteger los formularios de inicio de sesión ya que es altamente vulnerable para todos los suscriptores que ingresan al sitio en las siguientes ligas las cuales se encuentran sin seguridad y son perceptibles a la irrupción electrónica y robo de datos:
http://www.notimex.gob.mx/.git/HEAD
http://www.notimex.gob.mx/404javascript.js
http://www.notimex.gob.mx/404testpage4525d2fdc
http://www.notimex.gob.mx/audios
http://www.notimex.gob.mx/avisoPrivacidad
http://www.notimex.gob.mx/fotos
http://www.notimex.gob.mx/infografias
http://www.notimex.gob.mx/notas
http://www.notimex.gob.mx/videos
La versión HTTPS de este sitio web no es accesible: se agotó el tiempo de espera. Considere configurar HTTPS para evitar la advertencia del navegador «No seguro», además de modificar el CMS para corregir vulnerabilidades y proteger datos encriptados.
No se detectó el firewall de la aplicación del sitio web. Instale un WAF basado en la nube para evitar ataques de sitios web y ataques DDoS.
%2013-0001.png/:/rs=w:1280)
%2013.39.0.png/:/rs=w:1280)
%2013.45.2.png/:/cr=t:0%25,l:0%25,w:100%25,h:100%25/rs=w:1280)
%2013.38.5.png/:/cr=t:0%25,l:0%25,w:100%25,h:100%25/rs=w:1280)
Headers de seguridad
Falta el header de seguridad para la protección de ClickJacking . Alternativamente, puede usar Content-Security-Policy: frame-ancestors ‘none’.
Falta el header de seguridad para evitar la detección del tipo de contenido .
Falta la directiva de Política de Seguridad de Contenido. Recomendamos agregar las siguientes directivas CSP (puede usar default-src si todos los valores son iguales): script-src, object-src, base-uri, frame-src
Se muestran las headers predeterminadas del servidor. Su sitio muestra headers predeterminadas de su servidor web .
Versión de PHP filtrada. Su sitio muestra su versión de PHP en los encabezados HTTP. Por favor conjunto expose_php = Off.
Análisis de vulnerabilidad y recomendaciones realizados en escaneo de 12 minutos, herramientas utilizadas:
SQLMap, Graber, Zed Attack Proxy en la plataforma de minería de datos Kali Linux.
Investigación y análisis realizado por Gildo Garza Herrera.
