A má gestão de senha leva ao vazamento de 243 milhões de registros de saúde
Outro impressionante incidente de segurança expôs as informações pessoais e registros de saúde de quase um quarto de bilhão de brasileiros. O vazamento foi relatado por uma publicação brasileira no início de dezembro de 2020.
Os nomes completos, números de telefone e endereços de 243 milhões de brasileiros foram expostos depois que a senha necessária para acessar as informações foi esquecida e deixada dentro do código-fonte público de um site. A discrepância entre a população atual do país de cerca de 210 milhões e o grande número de registros expostos deve-se ao fato de os registros incluírem muitos registros de pessoas que faleceram ao longo dos anos.
O erro de segurança impressionante deixou a senha completamente aberta para exibição pública. De acordo com o relatório publicado pela ZDNet, as credenciais de login para o banco de dados que contém os registros de saúde foram armazenadas no formato base64 e as sequências de base64 foram expostas a qualquer pessoa que pressionasse o botão "visualizar fonte" em seu navegador.
O fato de as strings terem sido codificadas com base64 é pouco consolador, já que o formato é facilmente decifrável, mesmo com ferramentas online gratuitas.
O governo brasileiro alegou que, embora houvesse um potencial significativo de exposição de informações, não havia provas concretas de que as informações foram acessadas ilegalmente por malfeitores.
O que piora a situação é que o erro de senha aconteceu devido ao manuseio inadequado do banco de dados e do site por uma empresa terceirizada. Isso serve apenas para destacar a importância do processo de seleção de fornecedores terceirizados e como é fácil para uma grande organização governamental sofrer um potencial acidente de segurança massivo simplesmente porque não escolheu um parceiro privado confiável.
Os dados expostos podem ser facilmente usados para diversos fins maliciosos, desde o empilhamento de credenciais até a falsificação de identidade e fraude. Infelizmente, como acontece com todos os vazamentos de dados, não há nada que você possa fazer para se proteger de uma empresa ou organização que lida incorretamente com as informações que você lhes enviou.