Felaktig hantering av lösenord leder till läckage av 243 miljoner hälsojournaler
En annan fantastisk säkerhetsincident har avslöjat den personliga informationen och hälsoregisterna för nästan en fjärdedel av en miljard brasilianare. Läckaget rapporterades av en brasiliansk publikation i början av december 2020.
De fullständiga namnen, telefonnummer och adresser till 243 miljoner brasilianska medborgare exponerades efter att lösenordet som behövdes för att få tillgång till informationen glömdes bort och lämnades kvar i den offentliga källkoden på en webbplats. Skillnaden mellan landets nuvarande befolkning på cirka 210 miljoner och det enorma antalet exponerade poster beror på att posterna innehöll många poster för personer som har gått bort under åren.
Det häpnadsväckande säkerhetsfelet lämnade faktiskt lösenordet helt öppet för allmän visning. Enligt rapporten som publicerades av ZDNet lagrades inloggningsuppgifterna till databasen som innehöll hälsoposterna i base64-format och base64-strängarna exponerades för alla som skulle trycka på knappen "visa källa" i sin webbläsare.
Det faktum att strängarna var kodade med base64 är lite tröst, eftersom formatet mycket lätt kan dekrypteras, även med gratis onlineverktyg.
Den brasilianska regeringen hävdade att även om det fanns betydande potentiell exponering av information, fanns det inga hårda bevis för att informationen var olagligt tillgänglig av dåliga aktörer.
Vad som gör saken värre är att lösenordsfel har inträffat på grund av dålig hantering av databasen och webbplatsen från ett tredjepartsföretag. Detta tjänar bara till att lyfta fram hur viktigt tredjepartsleverantörens urvalsprocess är och hur lätt det är för en stor statlig organisation att drabbas av en potentiell massiv säkerhetsolycka bara för att den inte valde en pålitlig privat partner.
De data som exponerades kunde enkelt användas för ett antal skadliga ändamål, från fyllning av legitimation till imitation och bedrägeri. Tyvärr, som med alla dataläckor, finns det inget du kan göra för att skydda dig från ett företag eller en organisation som hanterar den information du skickade till dem dåligt.
