密碼管理不善導致2.43億健康記錄洩露
另一起令人震驚的安全事件暴露了將近四分之一的十億巴西人的個人信息和健康記錄。 2020年12月上旬,巴西一家出版物報導了洩漏事件。
在忘記了訪問信息所需的密碼並將其保留在網站面向公眾的源代碼中之後,暴露了2.43億巴西公民的全名,電話號碼和地址。該國目前約有2.1億人口,與暴露的大量記錄之間的差異是由於這些記錄中包含了許多多年來去世的人的條目。
嚴重的安全錯誤實際上使密碼完全開放供公眾查看。根據ZDNet發布的報告,包含健康記錄的數據庫的登錄憑據以base64格式存儲,並且向任何在其瀏覽器中按“查看源代碼”按鈕的人公開base64字符串。
字符串使用base64編碼的事實並沒有什麼可安慰的,因為即使使用免費的在線工具,該格式也很容易解密。
巴西政府聲稱,儘管存在大量潛在的信息洩露,但沒有確鑿證據表明不良行為者非法獲取了這些信息。
更糟糕的是,由於第三方公司對數據庫和網站的處理不善,導致了密碼事故。這僅凸顯了第三方供應商選擇過程的重要性,以及巨大的政府組織僅僅因為未選擇可靠的私人合作夥伴而遭受潛在的大規模安全事故的可能性有多大。
暴露的數據很容易用於多種惡意目的,從憑證填充到假冒和欺詐。可悲的是,與所有數據洩漏一樣,您無法採取任何措施來保護自己免受遭受不良信息提交的公司或組織的侵害。
December 23, 2020
