Fejladministration med adgangskode fører til lækage af 243 millioner sundhedsoptegnelser
En anden forbløffende sikkerhedshændelse har afsløret de personlige oplysninger og sundhedsregistreringer for næsten en kvart milliard brasilianere. Lækagen blev rapporteret af en brasiliansk publikation i begyndelsen af december 2020.
De fulde navne, telefonnumre og adresser på 243 millioner brasilianske borgere blev afsløret, efter at den adgangskode, der var nødvendig for at få adgang til oplysningerne, blev glemt og blev efterladt inde i den offentligt vendte kildekode på et websted. Uoverensstemmelsen mellem landets nuværende befolkning på omkring 210 millioner og det enorme antal eksponerede poster skyldes, at optegnelserne omfattede mange poster for mennesker, der er gået bort gennem årene.
Den svimlende sikkerhedsfejl efterlod faktisk adgangskoden helt åben til offentlig visning. Ifølge rapporten, der blev offentliggjort af ZDNet, blev loginoplysningerne til databasen indeholdende sundhedsregistreringer gemt i base64-format, og base64-strengene blev udsat for enhver, der ville trykke på "vis kilde" -knappen i deres browser.
Det faktum, at strengene blev kodet med base64, er lidt trøst, da formatet meget let kan dekrypteres, selv med gratis onlineværktøjer.
Den brasilianske regering hævdede, at mens der var betydelig potentiel eksponering af information, var der ingen hårde beviser for, at dårlige aktører havde adgang til oplysningerne ulovligt.
Hvad der gør tingene værre er, at adgangskodefejlen skete på grund af en tredjepartsvirksomheds dårlige håndtering af databasen og webstedet. Dette tjener kun til at fremhæve, hvor vigtig tredjepartsleverandørudvælgelsesprocessen er, og hvor let det er for en enorm regeringsorganisation at lide en potentiel massiv sikkerhedsulykke, simpelthen fordi den ikke valgte en pålidelig privat partner.
De data, der blev eksponeret, kunne let bruges til en række ondsindede formål, fra legitimationsopfyldning til efterligning og bedrageri. Desværre er der som med alle datalækager ikke noget, du kan gøre for at beskytte dig mod en virksomhed eller organisation, der håndterer dårligt de oplysninger, du har sendt dem.
