La Intranet del CFT UTA (Centro de formación técnica de la universidad de Tarapacá) es Vulnerable. Todo comenzó en marzo del 2016, pensando que era un sistema antiguo ignore su existencia. Después de un tiempo veo que un amigo usa el sistema, simplemente me sorprendí y avise por correo el dia 12 de junio del 2016 sobre el error dando los detalles. Hasta el momento 4 de febrero del 2017 sigue con el error.

Tienen una vulnerabilidad SQL injection, esto permite ver todos los datos que maneja la intranet de CFT UTA.

También tenía privilegios de administrador, un simple script puede borrar toda la información del sistema, actualizar las notas, asistencia o cualquier cosa para la que se use tal sistema.

Vulnerabilidad XSS

También tienen una Vulnerabilidad XSS la cual se puede utilizar para propagar ataques.

¿Cómo comenzó?

El día viernes 9 de junio del 2017 encontré una vulnerabilidad Inyección SQL en saludmuniarica. Esta vulnerabilidad permite ver todos los datos personales de los usuarios atendidos en los diferentes establecimientos públicos de Arica, Chile.

El sistema no guardaba en la base de datos las contraseñas cifradas.

Informe al correo, al no ver respuesta decidí llamar y no contestaron. Con un script comprobé la reutilización del usuario y contraseña para otros sistemas que había en la página, el “programador” usaba la misma contraseña para todo, así que tuve acceso a los sistemas como administrador. Ya no podía hacer nada más que esperar que se den cuenta del correo.

Finalmente me contestaron y están solucionando el problema.

A veces me pregunto, ¿Quién tendrá esta información? ¿Cuantas personas y/o empresas tendrán acceso?.