2 min de lectura

Un bufete dio al personal una contraseña maestra para todas las cuentas

Un bufete permitió a los empleados iniciar sesión como cualquier miembro del personal o cliente con una contraseña de administrador compartida, exponiendo datos personales y de salud.

Imagen: The Register

Un bufete proporcionó a varios empleados una contraseña maestra que les permitía iniciar sesión como cualquier usuario del sistema, según el relato de un lector publicado por The Register en su columna semanal PWNED.

El lector, identificado como “Manny”, dijo que se unió al bufete hace unos años después de ser contratado para reemplazar a todo un equipo de TI, convirtiéndose efectivamente en un departamento de TI de una sola persona. Encontró los datos y las aplicaciones de la empresa dentro de una única interfaz web, dividida en secciones por tipo de cliente, incluidos casos de lesiones personales y reembolsos de viajes.

El mayor problema era una contraseña de administrador que actuaba como llave universal. Cualquiera que tuviera esa contraseña —y, según Manny, muchas personas en el bufete la tenían— podía acceder a cualquier cuenta siempre que conociera la dirección de correo electrónico del usuario. Eso se aplicaba tanto al personal como a los clientes, dando acceso a información personal detallada, incluidos registros de salud.

Recomendado

La IA todavía no reemplazará a los pentesters

«Inmediatamente señalé que esto era un enorme riesgo de seguridad», dijo Manny a The Register. «Pero me dijeron: 'Oh, esa es la contraseña de administrador, todo el mundo la usa. No la toques.'»

Manny

Manny dijo que la contraseña compartida se usaba para soluciones temporales rutinarias: el personal podía iniciar sesión como un colega enfermo para reasignar trabajo, o acceder como cliente para completar campos faltantes en su nombre. Describió la plataforma como de 15 años y que necesitaba urgentemente ser reemplazada.

Cuando le pidieron crear un nuevo sistema, Manny dijo que se negó a incluir una puerta trasera similar. Según su relato, la dirección respondió convirtiendo a todos los usuarios en administradores del sistema.

El caso tiene menos que ver con sofisticación técnica y más con controles básicos: credenciales compartidas, acceso administrativo amplio y la dirección pasando por encima de las objeciones de seguridad en una empresa que maneja datos legales y médicos sumamente sensibles.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía The Register

// Sigue leyendo