Конфіденційна інформація більш ніж 243 млн. Бразильців була доступна для отримання всіма бажаючими через слабо закодованих облікових даних, які зберігалися в вихідному коді офіційного сайту Міністерства охорони здоров'я Бразилії. В результаті інциденту безпеки став можливим несанкціонований доступ до медичних записів живих і померлих жителів країни.
Протягом півроку кожен бажаючий міг переглядати особисті дані кожного користувача, зареєстрованого в Національній системі охорони здоров'я Бразилії Sistema Único de Saúde (SUS). Витік даних розкрила:
- повне ім'я людини;
- адреса проживання;
- номер телефону;
- всю медичну карту.
Відзначається, що близько 32 млн. Записів належить померлим жителям країни. Злиті дані актуальні на 2019 рік.
Облікові дані для авторизації були закодовані із застосуванням кодування Base24, яку можна з легкістю декодувати. Практично кожен бажаючий міг переглянути вихідний код офіційного сайту Міністерства охорони здоров'я Бразилії і облікові дані бази даних, натиснувши на F12 або на кнопку «Перегляд вихідного коду» в контекстному меню.
Конфіденційні медичні записи високо цінуються в даркнета, тому що в них зазвичай зберігається велика кількість конфіденційної інформації. Хакери можуть використовувати такі дані для шантажу пацієнтів і медпрацівників через делікатного характеру вкрадених відомостей.
Витекли в мережу медичні записи піддають мільйони жителів Бразилії ризику фінансового шахрайства, захоплення облікових записів на різних сервісах, крадіжки грошей і персональних даних. Зловмисники частина використовують особисті дані людини для створення підроблених профілів з метою здійснення різних кіберзлочинів.
Ілля Колоченко, керівник компанії ImmuniWeb, прокоментував новину: «Подібні витоку відбуваються через те, що організації наймають для розробки систем безпеки найбільш низькооплачуваних фахівців. Зазвичай розробка ПО і систем безпеки передається на аутсорсинг дешевим постачальникам, в результаті чого замовник отримує низькоякісний код з відповідним рівнем безпеки. Кіберзлочинці прекрасно знають про це, тому їм не складає труднощів отримати з подібних сайтів всю необхідну конфіденційну інформацію ».
Більше цікавого матеріалу на cisoclub.ru. Підписуйтесь на нас: Facebook | VK | Twitter | Instagram | Telegram | дзен | Мессенджер | ICQ New | YouTube | Pulse.