Hackers vulneraron sitio de Clave Única para promocionar páginas sexuales
La noticia se da a conocer a días de que el gobierno anunciara el “Pase de Movilidad”, que se obtiene desde el sitio MeVacuno utilizando esta herramienta.
Expertos en seguridad advirtieron una vulnerabilidad en el dominio del sitio web de Clave Única, donde hackers promocionaron páginas de contenido sexual.
Según los expertos informáticos, el sitio web, perteneciente al Gobierno de Chile, tiene una vulnerabilidad que puede ser aprovechada para realizar ataques de phishing y robar datos personales de los usuarios.
#ClaveUnica tiene una debilidad que ha estado siendo abusada por atacantes para distribuir contenido XXX. Esta misma debilidad puede perfectamente ser abusada para realizar ataques de phishing usando el dominio de #claveunica 🧐. Los detalles ya fueron enviados al @CSIRTGOB ✌️ pic.twitter.com/snMX57kSXj
— Fernando A. Lagos B. (@Zerial) May 24, 2021
“ClaveUnica tiene una debilidad que ha estado siendo abusada por atacantes para distribuir contenido XXX. Esta misma debilidad puede perfectamente ser abusada para realizar ataques de phishing usando el dominio de Clave Única”, señaló el experto en seguridad Fernando Lagos y director de la empresa chilena de ciberseguridad Nivel4.
Lagos señala que la información ya fue enviada al Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT), dependiente del gobierno.
Según informa Radio Bío Bío, el hackeo se concretó al menos de dos maneras: vía “open redirect” y mediante “black hat SEO” y que se tradujo en que varios usuarios al momento de cerrar su sesión eran redirigidos a páginas pornográficas.
Esto es conocido como “open redirect” y permite a los hackers distribuir virus u obtener contraseñas e información personal de los usuarios.
La otra modalidad es la conocida como “black hat SEO”, donde al buscar la página en Google aparecían sitios porno dentro de los primeros resultados.
“Hay que considerar que este es un hallazgo de una debilidad, por lo que se debe remediar rápidamente y atacar la causa de raíz para que no vuelva a suceder”, indicó a TVN Claudio Casado, consultor en ciberseguridad.
Esto se da justo en el momento en que el gobierno anunció el “Pase de Movilidad”, el que se debe obtener desde el sitio MeVacuno y donde unas de las opciones para ingresar es el uso de la Clave Única.
Carlos Landeros, director nacional de CSIRT, aseguró a Radio Bío Bío que ya remitieron los antecedentes de la falla a la Secretaría General de la Presidencia.
Fotos: Shutterstock/Flickr