La cattiva gestione delle password porta alla perdita di 243 milioni di cartelle cliniche
Un altro incredibile incidente di sicurezza ha rivelato le informazioni personali e le cartelle cliniche di quasi un quarto di miliardo di brasiliani. La fuga di notizie è stata segnalata da una pubblicazione brasiliana all'inizio di dicembre 2020.
I nomi completi, i numeri di telefono e gli indirizzi di 243 milioni di cittadini brasiliani sono stati esposti dopo che la password necessaria per accedere alle informazioni è stata dimenticata e lasciata all'interno del codice sorgente pubblico di un sito web. La discrepanza tra l'attuale popolazione del paese di circa 210 milioni e l'enorme numero di record esposti è dovuta al fatto che i record includevano molte voci di persone decedute nel corso degli anni.
Lo sbalorditivo errore di sicurezza in realtà ha lasciato la password completamente aperta per la visualizzazione pubblica. Secondo il report pubblicato da ZDNet, le credenziali di accesso al database contenente le cartelle cliniche erano memorizzate in formato base64 e le stringhe base64 erano esposte a chiunque avrebbe premuto il pulsante "view source" nel proprio browser.
Il fatto che le stringhe siano state codificate con base64 è poco consolante, poiché il formato è molto facilmente decifrabile, anche con strumenti online gratuiti.
Il governo brasiliano ha affermato che, sebbene vi fosse una potenziale significativa esposizione di informazioni, non c'erano prove concrete che le informazioni fossero state utilizzate illegalmente da cattivi attori.
Ciò che peggiora le cose è che l'incidente della password si è verificato a causa della cattiva gestione del database e del sito Web da parte di una società di terze parti. Questo serve solo per evidenziare quanto sia importante il processo di selezione dei fornitori di terze parti e quanto sia facile per un'enorme organizzazione governativa subire un potenziale enorme incidente di sicurezza semplicemente perché non ha scelto un partner privato affidabile.
I dati che sono stati esposti potrebbero essere facilmente utilizzati per una serie di scopi dannosi, dall'inserimento di credenziali al furto d'identità e alla frode. Purtroppo, come con tutte le fughe di dati, non c'è niente che puoi fare per proteggerti da un'azienda o un'organizzazione che gestisce male le informazioni che hai inviato loro.
