La sanidad madrileña expone por error datos de sus usuarios

Hace unas horas, TeleMadrid lanzaba la noticia de que una brecha de seguridad dejaba expuestos los datos de miles de usuarios por un fallo de programación en el servicio de autocita de la sanidad madrileña.

Entre los datos expuestos podemos encontrar nombre, apellidos, teléfono, domicilio, número de la seguridad social o vacuna administrada (este último requería múltiples consultas). Entre los afectados podemos destacar al actual presidente o al actual jefe de estado así como muchas otras figuras de la primera línea política del país.

Imagen
Ejemplo de parte de los datos expuestos

Todos estos datos se podían obtener consultando el DNI de cualquier usuario en la aplicación. Para ello bastaba con interceptar y modificar una petición al servicio. Este proceso es fácilmente automatizable y permitiría obtener la totalidad de los datos en poco tiempo.

Si bien fuentes de la Comunidad de Madrid niegan la brecha, fuentes de Indra (empresa a cargo del proyecto de la aplicación) han confirmado una incidencia con el servicio de sanidad, el cual ha sido deshabilitado temporalmente desde la tarde del 7 de julio. A su vez, la propia Consejería de Salud de Madrid confirmaba la incidencia a TeleMadrid.

Este fallo se suma a uno de carácter muy similar, reportado a principios de Junio. En este caso se permitía consultar los datos de cualquier usuario mediante el identificador CIPA en lugar del DNI. Dicho problema ya fue solventado.

Este tipo de brechas puede exponer a los usuarios a campañas de robos de identidad, extorsión, robos de cuentas o posibles fraudes haciendo uso de los datos personales expuestos.

fuente: unaaldia.hispasec.com