La web de la Generalitat sufre un ciberataque y deja al descubierto miles de datos personales

|

La página web de la Generalitat de Catalunya ha expuesto más de 5.000 registros de datos personales de usuarios que incluyen correos electrónicos y contraseñas debido a una vulnerabilidad que permitía la inyección de código malicioso, y que actualmente se está investigando para su solución.

Web de la Generalitat de Catalunya.


La vulnerabilidad ha afectado a cuatro subdominios de la Generalitat pertenecientes a diferentes herramientas de educación y cultura.


Así lo ha confirmado el investigador de ciberseguridad Touseef Gul, que ha informado de que el error consistía en la inyección de código SQL, una vulnerabilidad presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.


En el caso de uno de los subdominios vulnerables de la Generalitat se expuso una base de datos con 5.597 registros de datos, incluidos correos electrónicos y contraseñas pero también otros datos como centros educativos, como han confirmado fuentes de la Generalitat.


La institución catalana ha asegurado que los datos pertenecían solo a cerca de 180 usuarios y ha afirmado en un comunicado que "ninguna de las webs reportadas figura como un sistema crítico y, por tanto, no contenían datos críticos o sensibles".


A día de hoy, la Generalitat no tiene constancia de que ninguna de las vulnerabilidades haya sido explotada, pero "se ha abierto una investigación para determinar si ha habido o no una explotación de esta vulnerabilidad que pudiera haber provocado una explotación de estos datos por terceros".


La vulnerabilidad fue descubierta la semana pasada, cuando se informó a la Generalitat, según ha informado Touseef, y desde el 19 de noviembre tres de las páginas se han retirado y se encuentran en mantenimiento, como confirma la institución.


"Un ataque de inyección SQL puede solo dar acceso a ciertos registros, o en el peor de los casos puede llevar a un compromiso total del sistema donde se encuentra la base de datos", ha explicado Luis Corrons, Security Evangelist de Avast. Corrons ha destacado como punto positivo que la vulnerabilidad fuese descubierta por un investigador de ciberseguridad y no por cibercriminales.


Además, para prevenirlos, recomienda tomar medidas de seguridad al configurar y programar las bases de datos y realizar auditorías periódicas de la seguridad de los sistemas informáticos para buscar posibles fallos.

Sin comentarios

Escribe tu comentario




He leído y acepto la política de privacidad

No está permitido verter comentarios contrarios a la ley o injuriantes. Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
AHORA EN LA PORTADA
ECONOMÍA
Leer edición en: CATALÀ | ENGLISH