Hackers que aun no han sido identificados, se aprovecharon la vulnerabilidad del dominio web de la página de Clave Única para promocionar y posicionar sitios web
De acuerdo a información entregada por Radio Bio Bio, una vez que los usuarios cerraban su sesión eran dirigidos automáticamente a paginas de contenido porno.
El sitio web de la plataforma del gobierno presentaba una debilidad en su proceso de autenticación. Esto habría permitido que los hacker aprovecharan la oportunidad para redireccionar de manera automática a los usuarios de la plataforma a otros sitios web si la necesidad de su consentimiento.
En la informática esta debilidad se llama open redirect y permite que quien se maneje en la materia, se aproveche de páginas vulnerables para masificar virus, robar contraseñas o información valiosa de los usuarios de la web.
Así es como los hackers fueron capaces de vulnerar la página de Clave Única para posicionar páginas pornográficas en el mismo dominio.
La voz de alerta
Fue el director de la empresa chilena de ciberseguridad Nivel4, Fernando Lagos quien informó de la situación de la página web de la Clave Única.
El profesional usó su Twitter para explicar cómo los hackers pudieron vulnerar la página. Y además dio aviso a las autoridades para que resolvieran el problema.
#ClaveUnica tiene una debilidad que ha estado siendo abusada por atacantes para distribuir contenido XXX. Esta misma debilidad puede perfectamente ser abusada para realizar ataques de phishing usando el dominio de #claveunica 🧐. Los detalles ya fueron enviados al @CSIRTGOB ✌️ pic.twitter.com/snMX57kSXj
— Fernando A. Lagos B. (@Zerial) May 24, 2021
Según lo informado Radio Bio Bio la División de Gobierno Digital aclaró vía declaración escrita que la vulneración de Clave Única no puso en riesgo la seguridad de los usuarios. También hicieron un llamado a las personas para seguir usando la página con total confianza.
Por su parte desde la Segpres indicaron que están revisando todos los antecedentes para decidir si corresponde iniciar acciones legales en contra de los hackers.