Cartagena, 22 de Julio de 2022

Ingenieros

Jose Garcia
Coordinador Datos .

Giselly Baron
Coordinadora Negocios TI

Asunto : Tampering en Consentimiento informado Vacuna covid

Cordial saludo

Por medio del presente documento me permito informar el riesgo de fuga de informacion
y acceso no autorizado a informacion personal, descubierto en la pagina de vacuna COVID
que emite el formulario en formato PDF de consentimiento informado.

En pruebas realizadas por el ingeniero Norberto Sánchez del equipo de Arquitectura

empresarial de la gerencia de TI, de cara a la seguridad de las aplicaciones, se evidencio un
caso de informacion expuesta mediante la técnica de hacking conocida como tampering,
en esta técnica se interviene manipulando la url de una pagina web o aplicación,
cambiando solo un fragmento, permite obtener informacion privilegiada de manera no
autorizada, en este caso se podría emplear un bot que cambie automáticamente el
numero de ID de la URL y permitiría descargar todos los registros contenidos en la base de
datos relativos a el consentimiento informado en cuestión de segundos.

La URL no tiene protección por token lo que permite que cualquier persona que reciba el
link puede tener acceso al documento PDF registrado y variar el numero de ID sin
restricción.
https://vacunacovid.mutualser.com/panel/pdf/examples/ConsentimientoInformado.php?
id=342175

En un registro inicial en los ID se evidencia que los ID del 0 al 8 no registran información ,

el numero 9 muestra informacion de prueba de SUTANO PEREZ PEREZ y se registran
inconsistencias en los registros siguientes hasta el ID 15, esto se traduce en inconsistencia
de la integridad de la informacion contenida en la base de datos puesto que la cantidad de
registros no corresponden a personas informadas.

Formulario con informacion del Doctor Galo Viana

Presunta firma del doctor Galo Viana

El ultimo registro accesible es el 342175

La informacion obtenida de cada registro en sus campos son :

 Nombres
 Apellidos
 Documento de identidad
 Fecha de nacimiento
 Edad
 EAPB responsable
 Firma del Paciente
 Informacion reservada de su estado de salud
Se requiere de manera urgente la intervención en este caso teniendo en cuenta:

1. Depuración de los registros de prueba.

2. Eliminación o corrección de la informacion falsa.
3. Implementar medida de seguridad para protección de URL (tokenizacion).
4. Exigir al personal de QA verificar a informacion de las bases de datos antes de salir
a producción.
Las consecuencias que puede tener la exposición de esta informacion pueden ser muy
graves en todos los aspectos empezando con el riesgo de afectación reputacional
pasando por problemas legales.

Cordialmente,

Ing. Henry Lopez

Analista de TI Nivel II
Líder de Seguridad Informática