18 jul 2013

¿Están los partidos políticos concienciados de la seguridad de sus sitios web?

Buenas a todos, si leísteis el post de ayer en Flu Project que escribió Pablo sobre búsqueda de sitios web vulnerables a SQL Injection a través de buscadores, y realizasteis algunas sencillas pruebas buscando en Google los verbos que expusimos, localizaríais seguramente una curiosa página web de cierto partido político, que padece una inyección de tipo SQL que ha sido indexada por Google. No hacía falta profundizar mucho ya que su inyección salía en el TOP 1 de resultados de Google:

Con solo hacer clic sobre el enlace que nos presenta Google y SIN HACER NADA, NI PONER UNA SIMPLE COMILLA, se nos presenta una pantalla como la siguiente que creo no hará falta explicar:

Hemos tapado toda la información referente al partido, ya que nuestro objetivo no es perjudicar la imagen de ningún partido, simplemente concienciar de su falta de concienciación en seguridad.

Si nos fijamos en su favicon podemos ver que se trata de un portal Joomla, por lo que es muy posible que si el administrador no ha bastionado la configuración del servidor tengan expuesto el panel de control:

Portal en el que por supuesto no hemos puesto ni la letra de nuestro DNI.

Buscando nuevas queries en Google no es difícil localizar agujeros o más bien socavones de seguridad similares en partidos de otros colores, y repito, sin realizar ningún tipo de ataque, simplemente realizando búsquedas en Google. Puse este ejemplo porque me resultó curioso que Google lo presentase como el primer resultado en una búsqueda de patrones vulnerables, aunque podría haber puesto muchos otros.

Como conclusión a este artículo me gustaría transmitir mi temor por la falta de preocupación por la seguridad de la mayoría de los partidos políticos en sus sitios web y que al final acaba repercutiendo en mayor o menor medida a la ciudadanía, a sus militantes y a la imagen de nuestro país.

Saludos!

No hay comentarios:

Publicar un comentario