• 2 min de lectura
Bufete de abogados dio al personal una contraseña maestra para todas las cuentas
Un bufete de abogados permitió a los empleados iniciar sesión como cualquier miembro del personal o cliente usando una contraseña de administrador compartida, lo que expuso datos personales y de salud

Imagen: The Register
Según el relato de un lector publicado por The Register, un bufete entregó a los empleados una única contraseña maestra que podía usarse para iniciar sesión como cualquier usuario en su sistema de gestión de casos.
La historia proviene de un trabajador de TI que The Register identifica como «Manny», quien se incorporó al bufete hace unos años para sustituir a todo un equipo, convirtiéndose de facto en su departamento de informática de una sola persona. Encontró que los datos y las aplicaciones de la empresa estaban alojados en una amplia interfaz web dividida por tipo de cliente, con áreas separadas para asuntos como casos de lesiones personales y reembolsos de viajes.
El problema mayor era el control de acceso. Manny dijo que el sistema incluía una contraseña de administrador compartida que permitía a quien la tuviera suplantar a empleados o clientes, siempre que conociera la dirección de correo electrónico del usuario objetivo. Eso significaba que cualquiera que tuviera la contraseña podía ver información personal sensible, incluidos registros de salud.

Recomendado
Qantas evita una investigación de privacidad tras una filtración de 5.7 millones de regist
«Lo señalé de inmediato como un enorme riesgo de seguridad. Pero me dijeron: 'Ah, esa es la contraseña de administrador, todos la usan. No la toques.'»
Según Manny, la contraseña se usaba para soluciones temporales rutinarias dentro del bufete: iniciar sesión como un compañero enfermo para reasignar tareas, o acceder como un cliente para completar campos faltantes en formularios. Describió la plataforma subyacente como de 15 años de antigüedad y muy necesitada de reemplazo.
Cuando le pidieron crear un nuevo sistema, Manny dijo que se negó a incluir ese tipo de puerta trasera.
«Me negué rotundamente a añadir cualquier puerta trasera. Así que ascendieron a todos los usuarios a administradores del sistema y siguieron como de costumbre.»
The Register enmarca el episodio como un caso de riesgos de seguridad ignorados por la dirección, incluso cuando el personal técnico objetó. En este caso, el bufete parece haber evitado consecuencias inmediatas a pesar de haber dejado un amplio acceso a los datos de los clientes.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía The Register


