Fallas y debilidades de seguridad en Clínica Indisa

Los sistemas web de la Clínica Indisa no almacenan la password cifrada y permite a usuarios acceder a ella. Si pinchamos en la opción ¿Olvidaste tu clave secreta? nos pedirá nuestro RUT/DNI, al ingresarlo nos envia la contraseña al correo en texto plano en lugar de generarnos una aleatoria: Otro detalle es el remitente del […]

Los sistemas web de la Clínica Indisa no almacenan la password cifrada y permite a usuarios acceder a ella.

Sistema web con fallas de seguridad

Si pinchamos en la opción ¿Olvidaste tu clave secreta? nos pedirá nuestro RUT/DNI, al ingresarlo nos envia la contraseña al correo en texto plano en lugar de generarnos una aleatoria:

Correo de recuperacion de clave

Otro detalle es el remitente del correo: grisel.tobar@indisa.cl. Es decir, probablemente este correo quede en la bandeja de salida o correos enviados de este usuario, pudiendo acceder a todos los correos de recuperación de contraseña y con ello, a las contraseñas de los usuarios de la Clínica.