Tu información medica no siempre es segura

El viernes 9 de junio del 2017 encontré una vulnerabilidad Inyección SQL en saludmuniarica.cl, la cual me permitió ver todos los usuarios atendidos hasta mayo en los diferentes establecimientos públicos de la ciudad, nombres, rut, enfermedades, sector dentro del establecimiento, etc.

Tablas de base de datos pacientes

Podemos ver también que el sistema no cifra las contraseñas de los usuarios. Muchos creen que al tener HTTPS las contraseñas son seguras, pero en realidad el protocolo HTTPS protege la comunicación de datos, es finalmente el administrador y/o programador del sistema decidir si se quieren cifrar la información en la base de datos.

Algunas contraseñas no cifradas

Informe al correo, al no ver respuesta inmediata decidí llamar y no contestaron. El “programador” usaba la misma contraseña para todo, así que mediante un script comprobé la reutilización de la contraseña y el usuario para otros sistemas que había en la página, dándome acceso a los sistemas como super administrador. Ya no podía hacer nada más que esperar que se den cuenta del correo y “retarlos”. Finalmente me contestaron a las 19:39 del mismo dia y ahora esperare a que solucionen los problemas.

Privilegios en la base de datos

¿A veces me pregunto quien mas tendrán esta información? ¿cuantas personas y/o empresas tendrán acceso? No protegen nuestra información...