bnew
bnew
bnew
bnew

El Govern expone miles de correos y contraseñas de usuarios

La vulnerabilidad fue descubierta la semana pasada y desde el 19 de noviembre tres de las páginas se han retirado y se encuentran en mantenimiento

Web de la Generalitat de Cataluña Foto: Generalitat

La página web de la Generalitat de Cataluña ha expuesto más de 5.000 registros de datos personales de usuarios que incluyen correos electrónicos y contraseñas debido a una vulnerabilidad que permitía la inyección de código malicioso, y que actualmente se está investigando para su solución. La vulnerabilidad ha afectado a cuatro subdominios de la Generalitat pertenecientes a diferentes herramientas de educación y cultura.

Así lo ha confirmado el investigador de ciberseguridad Touseef Gul, que fue la persona que descubrió la vulnerabilidad e informó a la Generalitat, y que ha explicado que el error consistía en un fallo de seguridad de tipo SQL Injection, una vulnerabilidad presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.

Expuestos 5.597 registros de datos

En el caso de uno de los subdominios vulnerables de la Generalitat (aplicacions.ensenyament.gencat.cat) se expuso una base de datos con 5.597 registros de datos, incluidos correos electrónicos y contraseñas pero también otros datos como centros educativos. La institución catalana ha asegurado que los datos pertenecían solo a cerca de 180 usuarios y ha afirmado en un comunicado que «ninguna de las webs reportadas figura como un sistema crítico y, por tanto, no contenían datos críticos o sensibles».

A día de hoy, la Generalitat no tiene constancia de que ninguna de las vulnerabilidades haya sido explotada, pero «se ha abierto una investigación para determinar si ha habido o no una explotación de esta vulnerabilidad que pudiera haber provocado una explotación de estos datos por terceros».

La vulnerabilidad se descubrió la semana pasada

La vulnerabilidad fue descubierta la semana pasada, cuando se informó a la Generalitat, y desde el 19 de noviembre tres de las páginas se han retirado y se encuentran en mantenimiento, como confirma la institución. Lo que no han podido confirmar es el tiempo en que los datos han estado expuestos, aunque posiblemente sea de varios meses. «Un ataque de inyección SQL puede solo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos«, ha explicado Luis Corrons, Security Evangelist de Avast.

Corrons ha destacado como punto positivo que la vulnerabilidad fuese descubierta por un investigador de ciberseguridad y no por cibercriminales. Además, para prevenirlos, recomienda tomar medidas de seguridad al configurar y programar las bases de datos y realizar auditorías periódicas de la seguridad de los sistemas informáticos para buscar posibles fallos.

NOTICIAS RELACIONADAS

DEJA UN COMENTARIO

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

- Publicidad -
BNEW

Lo Más visto

Triunfa en redes una canción separatista que clama «Puta España»

La hispanofobia propia de parte del separatismo se presenta cada día de forma más descarnada. Si recientemente una presentadora de TV3 habló...

Robo frustrado/ Un hombre ve en directo por las cámaras a dos ladrones robando en su casa en Nou Barris

Los Mossos d'Esquadra han detenido a dos hombres 'infraganti' mientras desvalijaban un piso en Nou Barris (Barcelona) después de que el propietario...

Toni Soler desea al diputado de Cs Nacho Martín Blanco que «se pudra en la cárcel»

Algunos periodistas y cómicos de TV3 recurren con frecuencia al humor incorrecto para vehicular sus críticas políticas. Entre ellos se cuenta Jair...

La élite separatista reclama la «independencia» dándose un chapuzón en la piscina de Rahola

Ya en 2017, el periodista Kiko Llaneras evidenció en las páginas de El País que el separatismo es un movimiento respaldado por...