A jelszavakkal való helytelen kezelés 243 millió egészségügyi nyilvántartás szivárgásához vezet
Egy újabb lenyűgöző biztonsági esemény közel negyedmilliárd brazil személyes adatait és egészségügyi nyilvántartását tárta fel. A szivárgásról egy brazil kiadvány számolt be 2020 decemberének elején.
243 millió brazil állampolgár teljes nevét, telefonszámát és címét tették közzé, miután az információk eléréséhez szükséges jelszót elfelejtették, és egy webhely nyilvános forráskódjában hagyták. Az ország jelenlegi mintegy 210 milliós lakossága és a nyilvánosságra hozott iratok hatalmas száma közötti eltérés annak a ténynek köszönhető, hogy a nyilvántartások sok bejegyzést tartalmaztak az évek során elhunyt emberek számára.
A megdöbbentő biztonsági hiba valójában teljesen nyitva hagyta a jelszót nyilvános megtekintés céljából. A ZDNet által közzétett jelentés szerint az egészségügyi nyilvántartásokat tartalmazó adatbázisba való bejelentkezési adatokat base64 formátumban tárolták, és az base64 karakterláncokat bárki kitette, aki a böngészőjében megnyomta a "forrás megtekintése" gombot.
Az a tény, hogy a húrokat base64-szel kódolták, kevés vigasztalást jelent, mivel a formátum nagyon könnyen visszafejthető, méghozzá ingyenes online eszközökkel.
A brazil kormány azt állította, hogy bár az információk jelentős potenciális kitettséggel bírnak, nincsenek szilárd bizonyítékok arra vonatkozóan, hogy az információkhoz rossz szereplők illegálisan jutottak hozzá.
A helyzetet még rosszabbá teszi, hogy a jelszó-meghibásodás az adatbázis és a webhely harmadik fél által végzett kezelésének gyenge kezelése miatt következett be. Ez csak arra hívja fel a figyelmet, hogy mennyire fontos a harmadik fél gyártói kiválasztási folyamata, és mennyire könnyű egy hatalmas kormányzati szervezetnek súlyos potenciális biztonsági balesetet szenvednie pusztán azért, mert nem választott megbízható magánpartnert.
A kitett adatok könnyen felhasználhatók számos rosszindulatú célra, a hitelesítő adatok kitöltésétől a megszemélyesítésig és a csalásig. Sajnos, mint minden adatszivárgás esetén, semmit sem tehetünk azért, hogy megvédjük magunkat egy olyan vállalattól vagy szervezettől, amely rosszul kezeli a nekik benyújtott információkat.
