密码管理不善导致2.43亿健康记录泄露
另一起令人震惊的安全事件暴露了将近四分之一的十亿巴西人的个人信息和健康记录。一家巴西出版物在2020年12月上旬报道了泄漏事件。
在忘记了访问信息所需的密码并将其保留在网站面向公众的源代码中之后,暴露了2.43亿巴西公民的全名,电话号码和地址。该国目前约有2.1亿人口,与暴露的大量记录之间的差异是由于这些记录中包含了许多多年来去世的人的条目。
严重的安全错误实际上使密码完全开放供公众查看。根据ZDNet发布的报告,包含健康记录的数据库的登录凭据以base64格式存储,并且向任何在其浏览器中按“查看源代码”按钮的人公开base64字符串。
字符串使用base64编码的事实并没有什么可安慰的,因为即使使用免费的在线工具,该格式也很容易解密。
巴西政府声称,尽管存在大量潜在的信息泄露,但没有确凿证据表明不良行为者非法获取了这些信息。
更糟糕的是,由于第三方公司对数据库和网站的处理不善,导致了密码事故。这仅凸显了第三方供应商选择过程的重要性,以及一个庞大的政府组织仅仅因为未选择可靠的私人合作伙伴而遭受潜在的大规模安全事故的难易程度。
暴露的数据很容易用于多种恶意目的,从凭证填充到假冒和欺诈。可悲的是,与所有数据泄漏一样,您无法采取任何措施来保护自己免受遭受不良信息提交的公司或组织的侵害。
December 23, 2020
