Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Fallo de seguridad en la web Vacunación Covid de Cataluña expone datos privados pacientes


Un fallo de seguridad en la página de autocita para recibir la vacuna contra el coronavirus de la Generalitat de Catalunya ha expuesto datos personales de los ciudadanos registrados en el sistema. El Departamento de Salud cerró el agujero este fin de semana, que dejaba a la vista el nombre, el DNI e información referente a la cita para la vacuna de cada ciudadano, La brecha no ha comprometido ningún tipo de información clínica, recalcan: "En esta web únicamente constan los datos específicos de citación al proceso de vacunación".  



La vulnerabilidad, que ya está arreglada, expuso el nombre o el DNI de algunos usuarios, pero no información clínica

Se trataría del nombre, el DNI y la información relativa a la citación para vacunarse, según ha admitido este lunes la Generalitat, después de que lo hubiera avanzado eldiario.es.


Un fallo de seguridad en la web de vacunación de Salud deja al descubierto datos personales

   "Las recomendaciones de la Agència Ciberseguretat de Catalunya se aplicaron de forma inmediata para reforzar la seguridad de esta aplicación", explican las mismas fuentes. "Esta vulnerabilidad también se ha corregido ya por la empresa informática aplicando las acciones indicadas por la la Agència", añaden.

Tras el aviso de la existencia de la brecha a través de un grupo de hackers éticos autodenominado "Team Rocket", que también informó sobre ella a la Generalitat y a varios organismos de ciberseguridad del Estado. Paralelamente, el equipo técnico del Departamento de Salud detectó que la web de autocita estaba recibiendo "peticiones de información fuera de lo habitual". "Dada la visibilidad y trascendencia de la web, se hace un seguimiento continuo. En el curso de estas actuaciones de monitorización se identificaron solicitudes de acceso por parte de terceros fuera del flujo definido y que han sido objeto de análisis", explican las mismas fuentes.     




El citado grupo de hackers éticos aseguran  que ellos son los autores de esa serie de solicitudes anormales, enviadas como método alternativo para llamar la atención de la Generalitat sobre la situación. "Hemos actuado en la realización de peticiones masivas que es lo que ha hecho saltar las alarmas", explican: "Creemos que es importante que los ciudadanos lo sepan. No se han dado cuenta de las peticiones que hicimos inicialmente y son las que nos han permitido acceder a toda la información", manifiestan.      

Por el momento, la Generalitat no tiene pruebas de que la brecha de seguridad haya sido explotada por terceros para acceder a los datos de los ciudadanos más allá de ese testeo llevado a cabo por los hackers éticos. "Se está analizando el incidente con la Agència de Ciberseguretat. Los datos han estado expuestos, pero no tenemos constancia de su usurpación", confirman desde el Departament.

"Como próximos pasos se está profundizando con los diferentes proveedores qué han sido las causas y qué mejoras y controles hay que incorporar a los protocolos para minimizar los riesgos de seguridad informática", añaden. La Generalitat ya ha comunicado el agujero de seguridad a la Autoridad Catalana de Protección de Datos.

Según la Generalitat, en el error no habría quedado expuesto el historial clínico de los usuarios, ni datos como la dirección o el teléfono móvil. En la web afectada por la vulnerabilidad "únicamente constan los datos específicos de citación al proceso de vacunación".

    "La web de vacunación Covidien ha diseñado como un sistema específico para la gestión de las vacunas, aislado de los sistemas de historial electrónico de la ciudadanía. El objetivo ha sido simplificar al máximo los trámites de reserva de citas para favorecer la vacunación, reducir la ausencia y facilitar en la gestión electrónica de las citas "

La Agencia de Ciberseguridad de Cataluña ha emitido un comunicado en el que asegura que la vulnerabilidad de la aplicación ya ha sido corregida. Ahora se trabaja conjuntamente con Salud para investigar las causas y ver qué mejoras se pueden incorporar.

Peticiones fuera de lo habitual

La web de vacunas está bajo un seguimiento continuo, "dada la visibilidad y trascendencia" que tiene. En esta monitorización se identificaron solicitudes de acceso sospechosas. Las autoridades detectaron un incidente en el que se hacían peticiones de información en la web fuera de lo habitual.

La semana pasada, justamente, un error muy similar en la Comunidad de Madrid, expuso también  los datos de vacunación. 

Fuente:

https://www.eldiario.es/tecnologia/brecha-web-autocita-vacuna-catalunya-dejo-vista-datos-personales-ciudadanos_1_8126424.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.