Chilectra es una empresa privada chilena distribuidora de energía eléctrica. En su sitio web los usuarios pueden ingresar a un portal privado para acceder a información de sus consumos, cuentas y otros beneficios. En el proceso de Recuperación de Contraseña, para prevenir el uso de robots que permitan obtener algún tipo de información mediante fuerza-bruta, […]
Chilectra es una empresa privada chilena distribuidora de energía eléctrica. En su sitio web los usuarios pueden ingresar a un portal privado para acceder a información de sus consumos, cuentas y otros beneficios. En el proceso de Recuperación de Contraseña, para prevenir el uso de robots que permitan obtener algún tipo de información mediante fuerza-bruta, han implementado un captcha.
Todos conocemos que la función principal del captcha es poder distinguir entre humanos y bots.
El captcha que implementó chilectra en sus procesos de registros o de recuperación de contraseña corresponde a una implementación básica y fácil de vulnerar. La idea de todo captcha es que los bots no puedan solucionar el desafío y de esta forma prevenir procesos automatizados.
Como se puede ver en la imagen, el desafío es escribir la palabra que aparece deformada “grip” y cada vez que actualizamos esa palabra cambia
El problema de esta implementación de captcha es que la imagen y texto no se genera automáticamente, sino que es leída desde un archivo jpg estático, pudiendo predecir la palabra que el sistema está esperando que escribamos, vulnerando su sistema de seguridad. Las imagenes estan alojadas en el directorio /webapp/wcs/stores/servlet/cimg/ y el nombre de la imagen va desde el 1.jpg hasta el 191.jpg, de esta forma podemos determinar que la imagen 199.jpg dice “food”, la 150 dice “fear”, etc.
Este no es el unico sitio donde se implementa este tipo de captcha, existen otros casos conocidos como el de FeriaMix publicado en mayo del 2011 y que aun no se ha mejorado.
El sitio web del grupo de prensa Distrito Digital ha sido atacado y defaceado sin que ningún grupo se haya atribuído el hecho. Se desconoce el tipo de ataque y cómo han vulnerado el sitio web, pero el index se encuentra modificado desde el día de ayer.
Es común encontrar respaldos de bases de datos en internet publicadas erronea o inocentemente. El día de hoy se publicó en twitter un respaldo de la base de datos del sitio de la SOFOFA, el cual estaba disponible para que cualquier usuario pueda descargarlo, sin protección.