La poca importancia de la seguridad en la Universidad Mayor

Hace un par de semanas pudimos ver el caso del Instituto Profesional CIISA, ahora es el turno de la Universidad Mayor.

Alvaro Veliz me ha reportado el siguiente problema básico de seguridad en la plataforma de ingreso de alumnos. Esta plataforma llamada “Portal Estudiantil” dice ser una “Intranet solo disponible para alumnos regulares y egresados“, sin embargo, ellos mismos dan la opción de que no sea así y que cualquier persona pueda ingresar tan solo probando con RUTs al azar.

Podemos ver el mensaje en rojo que dice:

La clave que debes ingresar para acceder al Portal Estudiantil es 123456. Esta contraseña la debes cambiar en la pantalla siguiente tal como se te solicita.
IMPORTANTE: Al momento de cambiarla se te pide ingresar tu clave anterior, ésta es 123456, no lo olvides.


Me pregunto cuanta gente, hasta la fecha de hoy, ha ingresado al portal y ha cambiado su clave? Bastaría con generar un script que pruebe una lista de RUTs probables con una clave 123456 y ganar acceso al sistema, obtener informacion de los alumnos y crear dolores de cabeza a los administradores cambiandole todos los datos al usuario. Con estos hechos queda demostrada la poca o nula preocupación por las Universiades cuando se trata de proteger la información personal y la privacidad de sus alumnos.

3 comentarios

  1. Totalmente impresentable este hecho, que quieres que te diga.
    Cambiaron a SAP y aplicaron este tipo de “seguridad”

  2. Jaaajajaj! Quien dijo que era seguro ese metodo??

  3. Una vez intruseando, tuve acceso a la BD de todas las fotografías de los alumnos, estaban todas en un directorio de acceso publico, el nombre de la foto era el RUT. con el RUT entrabas al portal y pedías recuperar contraseña, cuando entrabas a recuperar contraseña había un icono de inicio en el que al presionarlo entrabas a la sesión sin poner ninguna clave. Les dije la vulnerabilidad y nada hasta que cambiaron todo a SAP

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.