Nieprawidłowe zarządzanie hasłami prowadzi do wycieku 243 milionów rekordów zdrowia
Kolejny oszałamiający incydent związany z bezpieczeństwem ujawnił dane osobowe i dokumentację zdrowotną prawie ćwierć miliarda Brazylijczyków. Wyciek został zgłoszony przez brazylijską publikację na początku grudnia 2020 r.
Pełne nazwiska, numery telefonów i adresy 243 milionów brazylijskich obywateli zostały ujawnione po zapomnieniu hasła potrzebnego do uzyskania dostępu do informacji i pozostawieniu go w dostępnym publicznie kodzie źródłowym strony internetowej. Rozbieżność między obecną populacją kraju, wynoszącą około 210 milionów, a ogromną liczbą ujawnionych zapisów wynika z faktu, że zapisy zawierały wiele wpisów dotyczących osób, które zmarły na przestrzeni lat.
Ten oszałamiający błąd bezpieczeństwa w rzeczywistości pozostawił hasło całkowicie otwarte do publicznego wglądu. Według raportu opublikowanego przez ZDNet, dane logowania do bazy danych zawierającej dane o stanie zdrowia były przechowywane w formacie base64, a ciągi base64 były ujawniane każdemu, kto kliknął przycisk „wyświetl źródło” w swojej przeglądarce.
Niewielkim pocieszeniem jest fakt, że ciągi znaków zostały zakodowane przy użyciu base64, ponieważ format można bardzo łatwo odszyfrować, nawet przy użyciu bezpłatnych narzędzi online.
Rząd brazylijski twierdził, że chociaż doszło do znacznego potencjalnego ujawnienia informacji, nie było twardych dowodów na to, że informacje były nielegalnie dostępne dla złych aktorów.
Co gorsza, błąd związany z hasłem nastąpił z powodu złej obsługi bazy danych i strony internetowej przez firmę zewnętrzną. Służy to jedynie podkreśleniu, jak ważny jest proces wyboru zewnętrznego dostawcy i jak łatwo jest ogromnej organizacji rządowej doświadczyć potencjalnego masowego wypadku związanego z bezpieczeństwem tylko dlatego, że nie wybrała wiarygodnego partnera prywatnego.
Dane, które zostały ujawnione, można z łatwością wykorzystać do wielu złośliwych celów, od wypychania danych uwierzytelniających po podszywanie się i oszustwa. Niestety, podobnie jak w przypadku wszystkich wycieków danych, nie można nic zrobić, aby uchronić się przed firmą lub organizacją, która źle obchodzi się z przekazanymi im informacjami.