Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Error en la web de Sanidad Madrid expone datos privados usuarios


TeleMadrid informaba la noticia de que una brecha de seguridad dejaba expuestos los datos de miles de usuarios por un fallo de programación en el servicio de autocita de la sanidad madrileña. Entre los datos expuestos, sabiendo previamente el DNI, podemos encontrar nombre, apellidos, teléfono, domicilio, número de la seguridad social o vacuna administrada (este último requería múltiples consultas). Entre los afectados podemos destacar al actual presidente o al actual jefe de estado así como muchas otras figuras de la primera línea política del país.

El portal para obtener el certificado COVID ha dejado expuesta la información de miles de ciudadanos                         

Simplemente con el número del DNI se podía acceder a datos privados como números de teléfono o de la Seguridad Social.

El total de ciudadanos que tuvieron sus datos personales expuestos asciende a 11 millones 

Un grave fallo en los sistemas de la Consejería de Sanidad de la Comunidad de Madrid expone datos de miles de personas

  • Telemadrid decide entregar a la Policía las pruebas del error de seguridad de Sanidad que expuso datos privados del rey
  • Se podían ver los datos privados (Número teléfono, Número Seguridad Social, Viviendas (incluido domicilio actual) de Felipe VI, Pedro Sánchez,  José María Aznar o el de Pablo Iglesias
  • Madrid pagó 225.000 euros a Indra por el sistema que filtró datos personales
  • El Twitter oficial de la Comunidad de Madrid lo niega y dice que es un bulo

Todos estos datos se podían obtener consultando el DNI de cualquier usuario en la aplicación. Para ello bastaba con interceptar y modificar una petición (tipo Burp suite o ZAP Zed Attack Proxy) al servicio. Este proceso es fácilmente automatizable y permitiría obtener en formato JSON la totalidad de los datos en poco tiempo.


Si bien fuentes de la Comunidad de Madrid niegan la brecha, fuentes de Indra (empresa a cargo del proyecto de la aplicación) han confirmado una incidencia con el servicio de sanidad, el cual ha sido deshabilitado temporalmente desde la tarde del 7 de julio. A su vez, la propia Consejería de Salud de Madrid confirmaba la incidencia a TeleMadrid.


Este fallo se suma a uno de carácter muy similar, reportado a principios de Junio en el sistema de Autocita. En este caso se permitía consultar los datos de cualquier usuario mediante el identificador CIPA en lugar del DNI. Dicho problema ya fue solventado.

Este tipo de brechas puede exponer a los usuarios a campañas de robos de identidad, extorsión, robos de cuentas o posibles fraudes haciendo uso de los datos personales expuestos.

El Servició Madrileño de Salud (Sermas) pagó 224.479,2 euros, 185.520 euros una vez descontado el IVA, a cambio de tres meses de trabajo, que incluyen la puesta en marcha de la web y su mantenimiento hasta el 16 de agosto de este año.     


En la adjudicación, la administración autonómica que dirige Isabel Díaz Ayuso expone que "Indra tiene amplia experiencia en el desarrollo y conocimiento de los sistemas de información del Sermas para prestar este servicio extraordinario, ya que disponen de la infraestructura y capacidad necesarias".     


Fuentes:


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.