Канфідэнцыйная інфармацыя больш чым 243 млн. Бразільцаў была даступная для атрымання ўсімі жадаючымі з-за слаба закадаваныя уліковых дадзеных, якія захоўваліся ў зыходным кодзе афіцыйнага сайта Міністэрства аховы здароўя Бразіліі. У выніку інцыдэнту бяспекі стаў магчымым несанкцыянаваны доступ да медыцынскіх запісах жывых і памерлых жыхароў краіны.
На працягу паўгода кожны жадаючы мог праглядаць асабістыя даныя кожнага карыстальніка, зарэгістраванага ў Нацыянальнай сістэме аховы здароўя Бразіліі Sistema Único de Saúde (SUS). Уцечка дадзеных раскрыла:
- поўнае імя чалавека;
- адрас пражывання;
- Тэлефонны нумар;
- ўсю медыцынскую карту.
Адзначаецца, што каля 32 млн. Запісаў належыць памерлым жыхарам краіны. Зьлітыя дадзеныя актуальныя на 2019 г..
Уліковыя дадзеныя для аўтарызацыі былі закадаваныя з ужываннем кадоўкі Base24, якую можна з лёгкасцю дэкадаваць. Практычна кожны жадаючы мог прагледзець зыходны код афіцыйнага сайта Міністэрства аховы здароўя Бразіліі і ўліковыя дадзеныя базы дадзеных, націснуўшы на F12 або на кнопку «Прагляд зыходнага кода» у кантэкстным меню.
Канфідэнцыйныя медыцынскія запісы высока цэняцца ў даркнете, таму што ў іх звычайна захоўваецца вялікая колькасць канфідэнцыйнай інфармацыі. Хакеры могуць выкарыстоўваць такія дадзеныя для шантажу пацыентаў і медработнікаў з-за далікатнага характару выкрадзеных звестак.
Утекшие у сетку медыцынскія запісы падвяргаюць мільёны жыхароў Бразіліі рызыцы фінансавага махлярства, захопу уліковых запісаў на розных сэрвісах, крадзяжы грошай і персанальных дадзеных. Зламыснікі частка выкарыстоўваюць асабістыя дадзеныя чалавека для стварэння падробленых профіляў ў мэтах здзяйснення розных кіберзлачынстваў.
Ілля Колоченко, кіраўнік кампаніі ImmuniWeb, пракаментаваў навіна: "Падобныя ўцечкі адбываюцца з-за таго, што арганізацыі наймаюць для распрацоўкі сістэм бяспекі самых нізкааплатных спецыялістаў. Звычайна распрацоўка ПА і сістэм бяспекі перадаецца на аўтсорсінг танным пастаўшчыкам, у выніку чаго заказчык атрымлівае нізкаякасны код з адпаведным узроўнем бяспекі. Кіберзлачынцы выдатна ведаюць пра гэта, таму ім не складае працы атрымаць з падобных сайтаў усю неабходную канфідэнцыйную інфармацыю ».
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.