Missmanagement von Passwörtern führt zum Verlust von 243 Millionen Gesundheitsakten
Ein weiterer erstaunlicher Sicherheitsvorfall hat die persönlichen Informationen und Gesundheitsdaten von fast einer Viertelmilliarde Brasilianern enthüllt. Das Leck wurde Anfang Dezember 2020 von einer brasilianischen Veröffentlichung gemeldet.
Die vollständigen Namen, Telefonnummern und Adressen von 243 Millionen brasilianischen Bürgern wurden bekannt gegeben, nachdem das für den Zugriff auf die Informationen erforderliche Passwort vergessen und im öffentlich zugänglichen Quellcode einer Website belassen worden war. Die Diskrepanz zwischen der derzeitigen Bevölkerung des Landes von rund 210 Millionen und der großen Anzahl offengelegter Aufzeichnungen ist darauf zurückzuführen, dass die Aufzeichnungen viele Einträge für Personen enthielten, die im Laufe der Jahre verstorben sind.
Der erstaunliche Sicherheitsfehler ließ das Passwort tatsächlich für die Öffentlichkeit zugänglich. Laut dem von ZDNet veröffentlichten Bericht wurden die Anmeldeinformationen für die Datenbank mit den Gesundheitsdaten im Base64-Format gespeichert, und die Base64-Zeichenfolgen wurden jedem zugänglich gemacht, der in seinem Browser auf die Schaltfläche "Quelltext anzeigen" drückte.
Die Tatsache, dass die Zeichenfolgen mit base64 codiert wurden, ist wenig tröstlich, da das Format selbst mit kostenlosen Online-Tools sehr leicht entschlüsselt werden kann.
Die brasilianische Regierung behauptete, dass es zwar eine erhebliche potenzielle Offenlegung von Informationen gebe, es jedoch keine eindeutigen Beweise dafür gebe, dass schlechte Akteure illegal auf die Informationen zugegriffen hätten.
Was die Sache noch schlimmer macht, ist, dass das Passwort-Missgeschick auf den schlechten Umgang mit der Datenbank und der Website durch ein Drittunternehmen zurückzuführen ist. Dies dient nur dazu hervorzuheben, wie wichtig der Auswahlprozess für Drittanbieter ist und wie einfach es für eine große Regierungsorganisation ist, einen potenziellen massiven Sicherheitsunfall zu erleiden, nur weil sie keinen zuverlässigen privaten Partner ausgewählt hat.
Die offengelegten Daten können leicht für eine Reihe böswilliger Zwecke verwendet werden, von der Eingabe von Anmeldeinformationen bis hin zu Identitätswechsel und Betrug. Wie bei allen Datenlecks können Sie leider nichts tun, um sich vor einem Unternehmen oder einer Organisation zu schützen, die mit den von Ihnen übermittelten Informationen schlecht umgehen.
