Неправильное использование пароля приводит к утечке 243 миллионов медицинских записей
Еще один потрясающий инцидент, связанный с безопасностью, раскрыл личную информацию и медицинские записи почти четверти миллиарда бразильцев. Об утечке сообщило бразильское издание в начале декабря 2020 года.
Полные имена, номера телефонов и адреса 243 миллионов граждан Бразилии были раскрыты после того, как пароль, необходимый для доступа к информации, был забыт и оставлен внутри общедоступного исходного кода веб-сайта. Несоответствие между нынешним населением страны, составляющим около 210 миллионов человек, и огромным количеством открытых записей связано с тем, что в них было много записей о людях, умерших за эти годы.
Ошеломляющая ошибка безопасности фактически оставила пароль полностью открытым для всеобщего обозрения. Согласно отчету, опубликованному ZDNet, учетные данные для входа в базу данных, содержащую медицинские записи, хранились в формате base64, а строки base64 были доступны любому, кто нажимал кнопку «просмотреть источник» в своем браузере.
Тот факт, что строки были закодированы с помощью base64, мало утешает, поскольку этот формат очень легко дешифровать даже с помощью бесплатных онлайн-инструментов.
Правительство Бразилии заявило, что, хотя существует значительная потенциальная возможность раскрытия информации, нет убедительных доказательств того, что к информации незаконно получили доступ злоумышленники.
Что еще хуже, так это то, что сбой пароля произошел из-за плохой обработки базы данных и веб-сайта сторонней компанией. Это лишь подчеркивает, насколько важен процесс выбора стороннего поставщика и насколько легко для огромной правительственной организации пострадать от потенциального серьезного нарушения безопасности просто потому, что она не выбрала надежного частного партнера.
Раскрытые данные могут быть легко использованы для ряда злонамеренных целей, от подбора учетных данных до выдачи себя за другое лицо и мошенничества. К сожалению, как и в случае со всеми утечками данных, вы ничего не можете сделать, чтобы защитить себя от компании или организации, неправильно обрабатывающей информацию, которую вы им предоставили.
