La página web de la Generalitat de Catalunya ha expuesto más de 5.000 registros de datos personales de usuarios que incluyen correos electrónicos y contraseñas debido a una vulnerabilidad que permitía la inyección de código malicioso, y que actualmente se está investigando para su solución.

La vulnerabilidad ha afectado a cuatro subdominios de la Generalitat pertenecientes a diferentes herramientas de educación y cultura:

• login.regsega.cat;
•  http://culturaeducacio.gencat.cat;
• aplicacions.ensenyament.gencat.cat
• y https://jocdelsdrets.gencat.cat/

El investigador de ciberseguridad Touseef Gul informó a la Generalitat el 19 de noviembre del fallo, que consistía en la inyección de código SQL, una vulnerabilidad presente en una aplicación en el nivel de validación de las entradas para realizar operaciones sobre una base de datos.

En el caso de uno de los subdominios vulnerables de la Generalitat (aplicacions.ensenyament.gencat.cat) se expuso una base de datos con 5.597 registros de datos, incluidos correos electrónicos y contraseñas pero también otros datos como centros educativos. Los datos pertenecían a cerca de 180 usuarios y «ninguna de las webs contenían datos críticos o sensibles», precisa la Generalitat en un comunicado.

La Generalitat «ha abierto una investigación para determinar si ha habido o no un uso de esta vulnerabilidad que pudiera haber provocado una explotación de estos datos por terceros».