26/11/2020 Site Internet de la Generalitat de Catalunya. POLITIQUE DE RECHERCHE ET TECHNOLOGIE GENERALITAT

MADRID, 26 ans (Portaltic / EP)

Le site Web de la Generalitat de Catalunya a exposé les données de plus de 5000 courriels et mots de passe en raison d’une vulnérabilité qui a permis l’injection de code malveillant, et qui est actuellement à l’étude pour sa solution.

La vulnérabilité a affecté quatre sous-domaines de la Generalitat appartenant à différents outils d’éducation et de culture (login.regsega.cat; http://culturaeducacio.gencat.cat; aplicacions.ensenyament.gencat.cat et https: //jocdelsdrets.gencat .chat /).

Ceci a été confirmé à Europa Press par le chercheur en cybersécurité Touseef Gul, qui a signalé que l’erreur consistait en l’injection de code SQL, une vulnérabilité présente dans une application au niveau de la validation des entrées pour effectuer des opérations sur la base de Les données.

Dans le cas de l’un des sous-domaines vulnérables de la Generalitat (aplicacions.ensenyament.gencat.cat), une base de données contenant 5 597 e-mails et mots de passe a été exposée. Parallèlement à chaque tableau, d’autres e-mails supplémentaires ont également été filtrés.

Dans ce cas, le code vulnérable est dû à l’utilisation de l’outil e-learning Arlod, utilisé sur les pages concernées par le problème.

La vulnérabilité a été découverte la semaine dernière, lorsqu’elle a été signalée à la Generalitat, comme rapporté par Gul, et depuis lors, les pages sont en cours de maintenance, l’institution est actuellement en train d’enquêter et travaille pour résoudre l’erreur.

«Une attaque par injection SQL ne peut donner accès qu’à certains enregistrements, ou dans le pire des cas, elle peut conduire à une compromission totale du système où se trouve la base de données», explique Luis Corrons, Security Evangelist chez Avast.

Corrons a souligné comme un point positif que la vulnérabilité a été découverte par un chercheur en cybersécurité et non par des cybercriminels.

De plus, pour les éviter, il recommande de prendre des mesures de sécurité lors de la configuration et de la planification des bases de données et de mener des audits périodiques de la sécurité des systèmes informatiques pour rechercher d’éventuelles pannes.