Η κακή διαχείριση κωδικού πρόσβασης οδηγεί στη διαρροή 243 εκατομμυρίων αρχείων υγείας
Ένα άλλο εκπληκτικό περιστατικό ασφαλείας έχει αποκαλύψει τα προσωπικά στοιχεία και τα αρχεία υγείας σχεδόν το ένα τέταρτο ενός δισεκατομμυρίου Βραζιλιάνων. Η διαρροή αναφέρθηκε από μια βραζιλιάνικη έκδοση στις αρχές Δεκεμβρίου 2020
Τα πλήρη ονόματα, αριθμοί τηλεφώνου και διευθύνσεις 243 εκατομμυρίων Βραζιλιάνων πολιτών αποκαλύφθηκαν αφού ο κωδικός πρόσβασης που απαιτείται για την πρόσβαση στις πληροφορίες ξεχάστηκε και αφέθηκε μέσα στον κοινό πηγαίο κώδικα ενός ιστότοπου. Η απόκλιση μεταξύ του τρέχοντος πληθυσμού της χώρας περίπου 210 εκατομμυρίων και του τεράστιου αριθμού των αρχείων που εκτίθενται οφείλεται στο γεγονός ότι οι δίσκοι περιελάμβαναν πολλές καταχωρήσεις για άτομα που έχουν πεθάνει όλα αυτά τα χρόνια.
Το εντυπωσιακό λάθος ασφαλείας άφησε πραγματικά τον κωδικό πρόσβασης εντελώς ανοιχτό για δημόσια προβολή. Σύμφωνα με την έκθεση που δημοσίευσε το ZDNet, τα διαπιστευτήρια σύνδεσης στη βάση δεδομένων που περιείχαν τα αρχεία υγείας αποθηκεύτηκαν σε μορφή base64 και οι συμβολοσειρές base64 εκτέθηκαν σε οποιονδήποτε θα πατούσε το κουμπί "προβολή προέλευσης" στο πρόγραμμα περιήγησής τους.
Το γεγονός ότι οι συμβολοσειρές κωδικοποιήθηκαν με το base64 είναι λίγο παρηγοριά, καθώς η μορφή είναι πολύ εύκολα αποκρυπτογράφηση, ακόμη και με δωρεάν διαδικτυακά εργαλεία.
Η κυβέρνηση της Βραζιλίας ισχυρίστηκε ότι, ενώ υπήρχε σημαντική πιθανή έκθεση πληροφοριών, δεν υπήρχαν σκληρές ενδείξεις ότι οι πληροφορίες είχαν πρόσβαση παράνομα από κακούς παράγοντες.
Αυτό που κάνει τα πράγματα χειρότερα είναι ότι η ατυχία κωδικού πρόσβασης συνέβη λόγω της κακής διαχείρισης της βάσης δεδομένων και του ιστότοπου από τρίτη εταιρεία. Αυτό χρησιμεύει μόνο για να υπογραμμίσει πόσο σημαντική είναι η διαδικασία επιλογής προμηθευτή τρίτου μέρους και πόσο εύκολο είναι για έναν τεράστιο κυβερνητικό οργανισμό να υποστεί ένα πιθανό τεράστιο ατύχημα ασφαλείας απλώς και μόνο επειδή δεν επέλεξε έναν αξιόπιστο ιδιωτικό συνεργάτη.
Τα δεδομένα που είχαν εκτεθεί θα μπορούσαν εύκολα να χρησιμοποιηθούν για διάφορους κακόβουλους σκοπούς, από την παραλαβή διαπιστευτηρίων έως την πλαστοπροσωπία και την απάτη. Δυστυχώς, όπως και με όλες τις διαρροές δεδομένων, δεν υπάρχει τίποτα που μπορείτε να κάνετε για να προστατευτείτε από μια εταιρεία ή έναν οργανισμό που χειρίζεται ελάχιστα τις πληροφορίες που τους υποβάλατε.
