Ara fa uns mesos, vaig descobrir una vulnerabilitat a la pàgina https://accesuniversitat.gencat.cat, una pàgina de la Generalitat de Catalunya que serveix perquè els estudiants puguin fer tràmits sobre tot el relacionat amb l’accés a la universitat (matrícula de les PAU, preinscripció a les Universitats, etc.).

A aquest aplicatiu web hi ha una secció on cada estudiant ha d’omplir les seves dades personals, acadèmiques, etc. Bé, totes les accions que es fan a aquesta plataforma (ja sigui desar les dades, obtenir els tràmits que estan disponibles, etc.) es fan mitjançant peticions XHR dinàmiques a una API. En llenguatge simple, això vol dir que hi ha un lloc des d’on, després de carregar l’estructura bàsica de la pàgina web, es carreguen totes les dades per mostrar-les a l’usuari, i que també s’utilitza per guardar/actualitzar informació.

Figura 1. Captura de pantalla que mostra la pantalla on s'introdueixen les dades personals.

Bé, aquesta API té un mètode (un mètode, per entendre’ns, és una “gestió” que pot fer la API) que serveix per obtenir les dades personals d’un alumne en concret. Així, si es fa una petició per demanar-li les dades de l’alumne X, la API retornarà les dades d’aquest alumne. L’esperat per aquest mètode de la API és que un alumne només pugui obtenir les dades d’ell mateix i no d’altres persones. Malauradament, la vulnerabilitat consistia en què aquest control de seguretat no estava implementat, així que qualsevol alumne podia cridar a l’API per obtenir les dades personals de qualsevol altre alumne, sense que sortís cap error d’accés denegat.

Per tal que s’arreglés la vulnerabilitat, vaig informar el dia 22 d’abril del 2018 al Centre de Telecomunicacions i Tecnologies de la Inofrmació (CTTI) que hi havia una vulnerabilitat al web d’accesuniversitats (sense especificar quina era la vulnerabilitat) per tal de preguntar-lis a qui m’havia d’adreçar i per quin canal podia donar els detalls de la vulnerabilitat. El dia 25 d’abril em van trucar des del Centre de Seguretat de la Informació de Catalunya (CESICAT) per tal que els fes saber els detalls de la vulnerabilitat, que els vaig enviar per correu electrònic. Finalment, el dia 28 d’abril em van trucar de nou per fer-me saber que la vulnerabilitat havia estat arregalada.

Podeu trobar els detalls tècnics de la vulnerabilitat al següent enllaç: T1: Students can see other student’s personal information at accesuniversitat.gencat.cat