La página valida los datos ingresados de lado del cliente (usuario), si no se validan también del lado del servidor ¡pum! Una inyección SQL y adiós base de datos
En el código fuente se puede observar que la página solicita los siguientes datos:
- CURP
- Nombre completo
- Fecha de nacimiento
- Entidad de nacimiento
- Sexo
- Lugar en donde voy a vacunarme: Entidad, Municipio, CP
- Contacto: Teléfono, email
Incluso hasta la página de mantenimiento está "abajo"
• • •
Missing some Tweet in this thread? You can try to
force a refresh
🏴☠️ 16 GB de información supuestamente de la empresa de seguros mexicana #GNP Seguros fue filtrada el 27 de enero por el grupo de ransomware #Nefilim
Grupo Nacional Provincial GNP pertenece a Grupo BAL, cuyo dueño es Alberto Baillères González, quien ocupa el cuarto lugar en el ranking de los mexicanos más ricos de México según la lista de Fortune.
El pasado 2 de marzo de 2020, GNP ganó la licitación para administrar el seguro de retiro de más de 500 mil trabajadores del gobierno, contrato que ronda los 340 y 850 millones de pesos, de acuerdo al portal el El Economista con datos de compranet. skty.cc/nq
Cibercriminales colocan públicamente en internet 2 post con bases de datos que indican, corresponden a usuarios de Telcel📱
La 1ra contiene 699,350 registros y la segunda "36 mln"
Post 1: Contiene una captura de pantalla de registros como evidencia del contenido del archivo
En la liga de descarga, el nombre del archivo indica que son registros del 2016 de planes de renta.
Sin embargo, el archivo contiene 588,350 registros (111,000 menos de lo indicado en el post)
El archivo incluye datos como: Nombre completo de personas físicas, nombre de personas morales, número de teléfono, marca y modelo de teléfono, RFC, domicilio, IMEI, tel de contacto, números de tarjetas de crédito, nombres de contactos personales
Se filtra supuestamente el código fuente de las apps móviles de @Citibanamex@BancoSabadellMX@BanCoppel desarrolladas por @novasolutionsys
Se encontraba en un repositorio accesible públicamente
Los datos supuestamente fueron tomados de una instancia de SonarQube mal configurada
Los archivos fueron descargados por el usuario "@ antiproprietary", antes @deletescape, baneado de Twitter por hacer públicos 20 GB de información interna de @intel, skty.cc/ke
La información se encontraba en una herramienta de nombre #sonarqube, esta es una herramienta para revisar la calidad y la seguridad del código, por lo tanto, la información es código fuente no compilado