7 meneos
169 clics
Cómo la app “SaludAndalucía” generó y subsanó un problema de niveles de seguridad de acceso a datos
Como el fallo parecía bastante sensible, decidí reportarlo y lo hice vía la Guardia Civil, y ahora la app de SaludAndalucía ha subsanado este fallo de seguridad. ¿Cómo lo ha hecho? Pues muy sencillo. El acceso de menor seguridad es para personas que "de verdad" no tienen tarjeta sanitaria. Así pues, si alguien que tiene tarjeta sanitaria de Andalucía utiliza este acceso con solo DNI y Fecha de Nacimiento recibe el siguiente mensaje.
|
comentarios cerrados
KNO dijo...
Durante muchos años, el acceso a la web para concertar cita previa en Osakidetza solo requería el número de tarjeta sanitaria y la fecha de nacimiento. El número de la tarjeta se daba de forma consecutiva, con lo que podías ir accediendo a la página de todos los usuarios solo con incrementar el número de tu tarjeta y poniendo tu fecha de nacimiento. Cuando dejaban de ser válidos, cambiabas la fecha.
En la web se exponían datos como nombre y apellidos, centro de salud asignado, y si tenía disponible algunas especialidades como matrona.
Ahora piden además el primer apellido, lo que hace que ese ataque ya no sea posible.
28/1/22 8:02 A. M.