Password Mismanagement Leads to the Leak of 243 Million Health Records
En annen fantastisk sikkerhetshendelse har avslørt personopplysningene og helseregistrene til nesten en kvart milliard brasilianere. Lekkasjen ble rapportert av en brasiliansk publikasjon tidlig i desember 2020.
De fulle navnene, telefonnumrene og adressene til 243 millioner brasilianske borgere ble avslørt etter at passordet som trengtes for å få tilgang til informasjonen, ble glemt og satt igjen i den offentlige kildekoden til et nettsted. Avviket mellom landets nåværende befolkning på rundt 210 millioner og det enorme antallet eksponerte poster skyldes at postene inkluderte mange poster for mennesker som har gått bort gjennom årene.
Den svimlende sikkerhetsfeilen lot faktisk passordet være helt åpent for offentlig visning. I følge rapporten publisert av ZDNet ble påloggingsinformasjonen til databasen som inneholder helseregistrene lagret i base64-format, og base64-strengene ble utsatt for alle som ville trykke på "vis kilde" -knappen i nettleseren sin.
Det faktum at strengene var kodet med base64 er liten trøst, da formatet veldig enkelt kan dekrypteres, selv med gratis verktøy på nettet.
Den brasilianske regjeringen hevdet at mens det var betydelig potensiell eksponering av informasjon, var det ingen harde bevis for at informasjonen var ulovlig tilgjengelig av dårlige aktører.
Det som gjør saken verre er at passordulykken skjedde på grunn av dårlig håndtering av databasen og nettstedet fra et tredjepartsfirma. Dette tjener bare til å fremheve hvor viktig tredjepartsleverandørvalgsprosessen er og hvor lett det er for en stor regjeringsorganisasjon å lide en potensiell massiv sikkerhetsulykke bare fordi den ikke valgte en pålitelig privat partner.
Dataene som ble eksponert kunne lett brukes til en rekke ondsinnede formål, fra legitimasjon til imitasjon og svindel. Dessverre, som med alle datalekkasjer, er det ingenting du kan gjøre for å beskytte deg mot et selskap eller en organisasjon som håndterer informasjonen du sendte dem dårlig.