Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "La poca importancia de la seguridad en la Universidad Mayor" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Hace un par de semanas pudimos ver el caso del Instituto Profesional CIISA, ahora es el turno de la Universidad Mayor.
Alvaro Veliz me ha reportado el siguiente problema básico de seguridad en la plataforma de ingreso de alumnos. Esta plataforma llamada “Portal Estudiantil” dice ser una “Intranet solo disponible para alumnos regulares y egresados“, sin embargo, ellos mismos dan la opción de que no sea así y que cualquier persona pueda ingresar tan solo probando con RUTs al azar.
Podemos ver el mensaje en rojo que dice:
La clave que debes ingresar para acceder al Portal Estudiantil es 123456. Esta contraseña la debes cambiar en la pantalla siguiente tal como se te solicita.
IMPORTANTE: Al momento de cambiarla se te pide ingresar tu clave anterior, ésta es 123456, no lo olvides.
Me pregunto cuanta gente, hasta la fecha de hoy, ha ingresado al portal y ha cambiado su clave? Bastaría con generar un script que pruebe una lista de RUTs probables con una clave 123456 y ganar acceso al sistema, obtener informacion de los alumnos y crear dolores de cabeza a los administradores cambiandole todos los datos al usuario. Con estos hechos queda demostrada la poca o nula preocupación por las Universiades cuando se trata de proteger la información personal y la privacidad de sus alumnos.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "La poca importancia de la seguridad en la Universidad Mayor" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
febrero 25, 2010 a las 5:26 am
Totalmente impresentable este hecho, que quieres que te diga.
Cambiaron a SAP y aplicaron este tipo de “seguridad”
julio 5, 2010 a las 6:24 pm
Jaaajajaj! Quien dijo que era seguro ese metodo??
agosto 9, 2012 a las 3:40 pm
Una vez intruseando, tuve acceso a la BD de todas las fotografías de los alumnos, estaban todas en un directorio de acceso publico, el nombre de la foto era el RUT. con el RUT entrabas al portal y pedías recuperar contraseña, cuando entrabas a recuperar contraseña había un icono de inicio en el que al presionarlo entrabas a la sesión sin poner ninguna clave. Les dije la vulnerabilidad y nada hasta que cambiaron todo a SAP