Gutxienez 134.004 erabiltzaileren pasahitzak eta helbide elektronikoak agerian utzi ditu Quirón Ospitaleak bere web orrian izandako zibersegurtasun-akats batek. Orrialde honen bidez, zerbitzu hauek merkaturatzen ditu: on line medikuntza, koronabirus-probak, analisi genetikoak, azterketa medikoak eta kirurgia estetikoko zerbitzuak. Zorionez, konpainiak konpondu du arazoa, eta ez dago daturik lapurtu dutenik.
Horrelako akatsek erabiltzaileei buruzko datuak atzitzeko aukera ematen diete hirugarrenei, eta horrek ez du esan nahi informazioa lapurtzen denik.
Segurtasun-akatsak SQL Injection motako erasoak ahalbidetzen zituen. SQL (Structured Query Language), euskaraz “kontsulta-lengoaia egituratua”, datu-baseetan (BBDD) gordetako informazioa eskuratzeko diseinatutako programazio-lengoaia da. Datu-baseetan sartuz informazioa lapurtzeko, kode maltzur bat injektatzen da programa informatikoetan SQL bidez. Erasotako programa segurtasun-bermeekin eraiki ez bada edo sistema eragilea behar bezala eguneratu ez bada, erasoak arrakasta izateko aukera handiak daude.
Quirónen kasuan, Touseef Gul zibersegurtasuneko eta bug hunterreko adituak aurkitu du akatsa.
Gaur egun, Quirónek jakinarazi du “konpondu den arazo txiki bat” izan dela. Zibersegurtasuneko akatsa maiatzean jakinarazi zen, eta handik gutxira konpondu zen.
SQL erasoa azalduta:
SQL Injection motako eraso batean, datu-base batetik, normalean pribilegioak dituzten erabiltzaileentzat bakarrik egon behar lukeena (adibidez: datu-basearen administratzaileak), informazio pribatua lortzen da.
Informazio hori aplikazioetarako sarbide pribilegiatua lortzeko edo informazio konfidentziala lapurtzeko erabil daiteke. Eraso horiek, normalean, aplikazio publiko bateko zaurgarritasuna aprobetxatuz gertatzen dira. Ahultasunak, horrelako erasoetarako segurtasun-kontrolik ez duen aplikazio batetik etor daitezke.
Adibidez, SQL lengoaian epaiak sartzea bezero baten izena idazteko testu-eremu batean, edo erabilitako osagaietako batean dagoen ahultasun bat, hala nola web-zerbitzari bat, liburu-denda bat eta abar.
Halako zibererasoak jasateko arriskuak murrizteko, hauek dira gakoak: SQL Injection motako mehatxuetarako berariazko segurtasun-soluzioak instalatzea edo sistema eragileak eguneratzea.
Iturria: https://www.vozpopuli.com/economia_y_finanzas/quiron-ciberseguridad.html
#zibersegurtasuna #SQL #soluzioak
Iruzkin berriak