Hoy 5 de Noviembre de 2013, se ha hecho público un comunicado en la famosa web de código Pastebin, dónde un grupo denominado AnonymousAction, relacionado con el movimiento Anonymous, hacen públicos varios fallos de seguridad del portal de formación de UGT Madrid: www.masercisa.es

Aunque no se dan detalles técnicos del mismo, si aportan unas capturas de pantalla demostrando la intrusión:

• http://img823.imageshack.us/img823/3153/vxdi.jpg
• http://img856.imageshack.us/img856/7012/qite.jpg
• http://img542.imageshack.us/img542/8192/5xul.jpg
• http://img4.imageshack.us/img4/3607/pe7j.jpg
• http://img24.imageshack.us/img24/4269/nucq.jpg
• http://img163.imageshack.us/img163/4639/ylti.jpg
• http://img855.imageshack.us/img855/9554/jpsw.jpg

Basicamente indican que es posible acceder como administrador al portal y que mediante fallos del tipo Inyección SQL o SQL Injection  es posible acceder a su base de datos pudiendo extraer toda la información de la misma.

En el comunicado, se listan las bases de datos, tablas de las mismas y los campos, evidenciando la viabilidad del ataque.

Esto deja de manifiesto que es necesario monitorizar los medios de comunicación y portales de divulgación de información sensible, para conocer desde el primer momento las posibles filtraciones de su organización y poder llevar a cabo las medidas oportunas para limitar el impacto que una filtración de este tipo puede conllevar.

Productos de seguridad como ASIO permiten detectar en tiempo real estos ataques para evitar que sean explotados aún cuando la aplicación web continua siendo vulnerable.

UGT Madrid, debió realizar auditorías de seguridad continuadas, tanto de infraestructura como de aplicación y código así como la integración de medidas de protección perimetral, para evitar este tipo de sucesos.