11Mar/12

Centro de diagnostico medico “MaipoSalud” expone examenes de sus pacientes

Maipo Salud es un centro médico que da la posibilidad de que sus pacientes revisen sus examenes por internet, pero no brindan la suficiente seguridad para que no sean accesibles por cualquier persona.

Esta vulnerabilidad la podríamos catalogar como “Data Leak” y se puede explotar simplemente modificando el ID que sele entrega como parametro a detalleexamenes.php.

Leer artículo completo

06Mar/12

Vinylmusix – Expone sus backups al publico

Vinylmusix es un sitio dedicado a la venta de material musical,   el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder acceder al directorio que está dentro de admin/ sin autentificación. La vulnerabilidad está reportada desde el 17/04/2011.

Al ingresar directamente al directorio admin/backup, podemos ver el listado de archivos y directorios

 

En el contenido de los archivos podemos ver información como usuario y password:

La vulnerabilidad corresponde a la número #1293

 

 

06Mar/12

Multiples vulnerabilidades en sitio web de la Clínica Vespucio

Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado permite ver la versión del servicio MySQL, nombre de la base de datos y usuario de conexión:

 

Las vulnerabilidades corresponden a las siguientes:

04Mar/12

Vulnerabilidades en el sitio web de Clínica Portada

Al menos 5 vulnerabilidades se han reportado sobre el sitio web de Clínica Portada, la mayoría a SQL Injection. En las pruebas de concepto realizadas se puede obtener información sobre la base de datos como el usuario de conexión, nombre de la base de datos y versión del motor. El atacante podría explotar las vulnerabilidades para ingresar a información privada.

La vulnerabilidad afecta a todos los archivos php que reciben algún tipo de parámetro tipo “id”.

22Feb/12

Entel nuevamente afectado por un Data Leak por culpa de un proveedor

En la noticia anterior, Entel se vió afectada por la publicación de información sensible sobre la empresa y sus clientes, hoy se hizo publico otro directorio de otra empresa la cual también publicaba información sensible sobre la empresa.

La empresa, según la información del registro del dominio, corresponde a “Call Center Actualiza Ltda“, que bajo el dominio e-actualiza.cl, expuso la información de varios de sus clientes, entre ellos Entel.

Leer artículo completo