Datos de 134.004 usuarios dejados al descubierto por un fallo de ciberseguridad en Quirón

Datos de 134.004 usuarios dejados al descubierto por un fallo de ciberseguridad en Quirón

Contraseñas y direcciones de correo electrónico de al menos 134.004 usuarios dejados al descubierto por un fallo de ciberseguridad que el Hospital Quirón sufrió en su página web. Mediante su página, Quirón comercializa sus servicios de medicina online, pruebas de coronavirus, análisis genéticos, chequeos médicos y servicios de cirugía estética. Afortunadamente, la compañía ha solucionado el problema y no hay constancia de que se haya robado dato alguno. Este tipo de fallos permite a terceros el acceso a datos de usuarios, lo que no significa necesariamente el robo de información. El fallo de seguridad permitía los ataques de tipo SQL Injection. SQL (Structured Query Language), que en castellano sería “lenguaje de consulta estructurado”, es un lenguaje de programación diseñado para acceder a información almacenada en bases de datos (BBDD).  Para robar información accediendo a las bases de datos, se inyecta un código malicioso en programas informáticos a través de SQL. Si el programa atacado no ha sido construido con garantías de seguridad o el sistema operativo no ha sido debidamente actualizado, hay altas probabilidades de que el ataque triunfe. En el caso de Quirón, el fallo ha sido descubierto por el experto en ciberseguridad y bug hunter -cazador de bugs-Touseef Gul. Actualmente, se ha comunicado desde Quirón que se trata de “un problema menor que ya ha sido solucionado”. El fallo de ciberseguridad fue comunicado en el mes de mayo y se arregló poco después. El ataque SQL explicado: Un ataque de SQL Injection consiste en obtener información privada de una BBDD que normalmente sólo debería estar disponible para usuarios con privilegios (ej.: Administradores de la BBDD). Dicha información puede ser utilizada...
La Generalitat de Cataluña sufre un ciberataque debido a un fallo de seguridad

La Generalitat de Cataluña sufre un ciberataque debido a un fallo de seguridad

El pasado mes de noviembre la Generalitat de Cataluña sufrió un ciberataque que dejó al descubierto más de 5.000 cuentas de usuarios, correos electrónicos y contraseñas. Aunque ya se ha abierto una investigación, se desconoce cuánto tiempo lleva existiendo este fallo de seguridad y si ha habido robo de datos cruciales. La Generalitat ha confirmado que al menos tres de sus páginas han sufrido esta incidencia informática. Estas son el Departamento de Infraestructuras, el Departamento de Cultura y la web de servicios territoriales del Departamento de Educación catalán. Por el momento, se desconoce si hay más páginas implicadas en el fallo de seguridad. Este ataque ha sido posible a través de una inyección SQL (Structured Query Language), que consiste en introducir líneas de código malicioso en programas informáticos. El objetivo de esta ofensiva consiste en acceder a bases de datos y robar la información de los usuarios. Para que este tipo de malware funcione, se suelen beneficiar de fallos de seguridad y vulnerabilidades. Un ejemplo habitual es aprovecharse de formularios y/o campos a rellenar de una página web. No es la primera vez que se realiza este tipo de ciberataque en España. En septiembre de este mismo año se reportaron varios errores de seguridad bastantes similares al de la Generalitat en varias empresas, como Vueling y Nacex. Dada la similitud de los tres incidentes, es posible que hayan sido obra del mismo ciberdelincuente. En el caso de Vueling se vulneraron los datos de miles de empleados, mientras que en Nacex fueron los datos de clientes y usuarios. #Cibersegurad #SQL #Generalitat #Cataluña #España Fuentes: www.vozpopuli.com...