Onjuist beheer van wachtwoorden leidt tot het lekken van 243 miljoen medische dossiers
Een ander verbluffend veiligheidsincident heeft de persoonlijke informatie en medische dossiers van bijna een kwart miljard Brazilianen blootgelegd. Het lek werd begin december 2020 gemeld door een Braziliaanse publicatie.
De volledige namen, telefoonnummers en adressen van 243 miljoen Braziliaanse burgers werden onthuld nadat het wachtwoord dat nodig was om toegang te krijgen tot de informatie was vergeten en achtergelaten in de openbare broncode van een website. De discrepantie tussen de huidige bevolking van ongeveer 210 miljoen in het land en het enorme aantal blootgestelde records is te wijten aan het feit dat de records veel vermeldingen bevatten voor mensen die in de loop der jaren zijn overleden.
De onthutsende beveiligingsfout heeft het wachtwoord eigenlijk volledig opengelaten voor openbare weergave. Volgens het door ZDNet gepubliceerde rapport werden de inloggegevens voor de database met de medische dossiers opgeslagen in base64-indeling en werden de base64-strings zichtbaar voor iedereen die op de knop "bron bekijken" in zijn browser zou drukken.
Het feit dat de strings zijn gecodeerd met base64 is een kleine troost, aangezien het formaat heel gemakkelijk te decoderen is, zelfs met gratis online tools.
De Braziliaanse regering beweerde dat, hoewel er een aanzienlijke potentiële blootstelling van informatie was, er geen hard bewijs was dat de informatie illegaal werd geopend door slechte actoren.
Wat de zaken nog erger maakt, is dat het wachtwoordprobleem is opgetreden als gevolg van de slechte behandeling van de database en website door een derde partij. Dit dient alleen om te benadrukken hoe belangrijk het selectieproces van externe leveranciers is en hoe gemakkelijk het is voor een grote overheidsorganisatie om een potentieel groot veiligheidsongeval te lijden, simpelweg omdat ze geen betrouwbare privépartner heeft gekozen.
De gegevens die werden blootgesteld, konden gemakkelijk worden gebruikt voor een aantal kwaadwillende doeleinden, van het opvullen van inloggegevens tot nabootsing van identiteit en fraude. Helaas, zoals bij alle datalekken, is er niets dat u kunt doen om uzelf te beschermen tegen een bedrijf of organisatie die slecht omgaan met de informatie die u aan hen hebt verstrekt.
