Dėl netinkamo slaptažodžių naudojimo nuteka 243 milijonai sveikatos įrašų

Dar vienas nuostabus saugumo incidentas atskleidė beveik ketvirtadalio milijardo brazilų asmeninę informaciją ir sveikatos įrašus. Apie nutekėjimą pranešė Brazilijos leidinys 2020 m. Gruodžio pradžioje.

243 milijonų Brazilijos piliečių vardai, pavardės, telefonų numeriai ir adresai buvo paviešinti po to, kai buvo užmirštas slaptažodis, reikalingas prieigai prie informacijos, ir jis buvo paliktas viešame svetainės šaltinio kode. Dabartinės maždaug 210 milijonų šalies gyventojų ir didžiulio atskleistų įrašų skaičiaus neatitikimas yra susijęs su tuo, kad į įrašus buvo įtraukta daugybė įrašų, skirtų žmonėms, mirusiems per metus.

Stulbinanti saugumo klaida iš tikrųjų paliko slaptažodį visiškai atvirą viešai peržiūrėti. Remiantis „ZDNet“ paskelbta ataskaita, prisijungimo prie duomenų bazės, kurioje yra sveikatos įrašai, duomenys buvo saugomi „base64“ formatu, o „base64“ eilutės buvo rodomos visiems, kurie savo naršyklėje paspaus mygtuką „Peržiūrėti šaltinį“.

Tai, kad eilutės buvo užkoduotos „base64“, yra maža paguoda, nes formatas yra lengvai iššifruojamas net naudojant nemokamus internetinius įrankius.

Brazilijos vyriausybė tvirtino, kad nors informacija gali būti žymiai paveikta, nėra rimtų įrodymų, kad blogai veikėjai neteisėtai susipažino su informacija.

Pablogina tai, kad dėl slaptažodžio nesėkmės įvyko blogas duomenų bazės ir svetainės valdymas trečiųjų šalių įmonėse. Tai tik parodo, koks svarbus yra trečiųjų šalių tiekėjų pasirinkimo procesas ir kaip didžiulei vyriausybinei organizacijai lengva patirti galimą didžiulę saugumo avariją vien dėl to, kad ji nepasirinko patikimo privataus partnerio.

Atskleisti duomenys gali būti lengvai naudojami daugeliui kenkėjiškų tikslų, pradedant įgaliojimų užpildymu, apsimetinėjimu ir sukčiavimu. Deja, kaip ir visais duomenų nutekėjimais, nieko negalite padaryti, kad apsisaugotumėte nuo įmonės ar organizacijos, kuri blogai tvarko jūsų pateiktą informaciją.