El cas del robatori de dades del Sindicat de Mossos d'Esquadra ha estat possible perquè el servidor del web públic allotjava també un campus virtual vulnerable a atacs i la informació dels afiliats del sindicat en un mateix espai.

Toni Castejón, portaveu del sindicat de Mossos d'Esquadra, va dir aquest dijous a l'Oracle de Catalunya Ràdio (a partir del minut 30) que fa un any i mig, es va fer una inversió "molt forta" per tenir un servidor i una protecció "molt bona" a més de remarcar que fins i tot la CIA ha patit atacs informàtics. 

[ccmaradio]http://www.ccma.cat/audio/921502[/ccmaradio]
Val a dir que aquestes afirmacions es basen en la sensació d'haver invertit molts diners en un element, el servidor, que era només una part del què s'hauria d'haver protegit. Perquè els servidors, per si mateixos, poden protegir-se contra atacs DDoS que tinguin l'objectiu de deixar-lo inaccessible, però no poden protegir-se dels informàtics que els utilitzaran després.

És precisament aquí on hi trobem la base de l'error. A diferència del què es pugui pensar, qualsevol persona amb uns coneixements mínims de programació hauria pogut atacar el web. L'exemple del vídeo publicat aquest dijous a NacióDigital pot servir de guia per dur-lo a terme.

El problema no ha estat ni la potència ni la protecció del servidor a nivell de maquinari, sinó el fet que qui va programar el web va obviar -per desconeixement o per desinterès- fer unes comprovacions mínimes quan l'usuari envia dades al servidor.

D'aquesta manera, l'atacant va poder-hi accedir fàcilment perquè un programador va deixar una "porta oberta" que va acabar trobant el hacker. Així, a partir del moment en què al servidor hi havia un programa que permetia l'accés a la màquina, qualsevol altra protecció ja era inútil.