Padre dice encontrar falla de seguridad en página asociada a las escuelas publicas

Para poder participar de ciertas actividades deportivas en los colegios, los padres suelen tener que obtener un seguro especial.

Telemundo

Para poder participar de ciertas actividades deportivas en los colegios, los padres suelen tener que obtener un seguro especial.  Ese fue el caso de un padre del sur de la Florida que dice que el distrito escolar de Miami Dade lo dirigió a la página web de una aseguradora para comprar esa cobertura, pero cuando reviso ese portal, dice que encontró fallas de seguridad.

Como ingeniero en ciberseguridad Elías Castillo dice que se dedica a encontrarle fallas de seguridad a portales de internet por eso cuando el distrito escolar de Miami Dade lo dirigió a un portal externo a comprar un seguro para que su hijo participara de una actividad extracurricular, se preocupó. “Llené la información de mi niño y listo ya completé esa parte….después me dio la curiosidad de qué tan seguro será este sitio como me dedico a eso un poco”, dice Elías.  

Dice que para cerciorarse que la información de su hijo estuviera segura, le hizo una prueba de penetración al sitio de la aseguradora HSRI que trabaja con el distrito. “Me puse a averiguar así lo más simple que puedes hacer para hacer la prueba del sistema y con esa prueba simple fue que descubrí que en verdad podía acceder el récord, no solo de mi hijo, sino que, cambiando un numerito literalmente podía acceder el récord del siguiente, del siguiente y del siguiente”, dice.

Elías explica que la falla estaba en el código de la página. Que con la cuenta de su hijo podía cambiar el código fácilmente y le aparecían los récords de alumnos no solo en Miami Dade sino en otras partes del estado. “Me preocupo porque naturalmente es la información de mi hijo, es toda la información hasta la fecha de nacimiento, la dirección, la escuela a la que van, números telefónicos, correos electrónicos”, dice Elías.

Preocupado dice que contactó a Telemundo 51 Responde.  “Básicamente lo que tienen que arreglar es el código de la página para cerrar la vulnerabilidad para que solamente te deje ver el récord de una persona y solamente una persona nada más”, nos dijo.

Cuando contactamos al distrito escolar de Miami-Dade y a HSRI recibimos un comunicado de la aseguradora diciendo en parte “Después de recibir una alerta de que una persona obtuvo acceso no autorizado a ciertas áreas de nuestro sitio web, investigamos el problema y lo resolvimos de inmediato. Continuamos investigando las circunstancias que rodearon el acceso no autorizado… La protección de los datos personales de nuestros clientes es nuestra máxima prioridad…”  El distrito nos dijo que tras enterarse de esto “…se comunicaron con el administrador externo, HSRI…parece que no se comprometieron los datos de los estudiantes…”

“Por fortuna se están tomando la seguridad de la información bien en serio”, dice Elías agregando que se alegra con el resultado ya que apenas Telemundo 51 contactó a la empresa y el distrito, arreglaron el problema.  “Ya no se puede acceder la información de una manera inadecuada, ya es solamente puedo ver mi información que había entrado y no la de nadie más”, dice.

Elías dice que la prueba que el hizo la aprenden los alumnos de la universidad y cualquiera con mala intención pudiese haber robado los datos de los menores y uno como padre no se entera hasta que es demasiado tarde. Dice que uno debe medir bien que datos entrega porque solo porque el sitio diga que está cifrado, no significa que le estén haciendo pruebas a la seguridad de la página.

Contáctanos