sicc

¿Cómo comenzó?

El día viernes 9 de junio del 2017 encontré una vulnerabilidad Inyección SQL en saludmuniarica. Esta vulnerabilidad permite ver todos los datos personales de los usuarios atendidos en los diferentes establecimientos públicos de Arica, Chile.

El sistema no guardaba en la base de datos las contraseñas cifradas.

Informe al correo, al no ver respuesta decidí llamar y no contestaron. Con un script comprobé la reutilización del usuario y contraseña para otros sistemas que había en la página, el “programador” usaba la misma contraseña para todo, así que tuve acceso a los sistemas como administrador. Ya no podía hacer nada más que esperar que se den cuenta del correo.

Finalmente me contestaron y están solucionando el problema.

A veces me pregunto, ¿Quién tendrá esta información? ¿Cuantas personas y/o empresas tendrán acceso?.