Конфиденциальная информация более чем 243 млн. бразильцев была доступна для получения всеми желающими из-за слабо закодированных учетных данных, которые хранились в исходном коде официального сайта Министерства здравоохранения Бразилии. В результате инцидента безопасности стал возможным несанкционированный доступ к медицинским записям живых и умерших жителей страны.
В течение полугода каждый желающий мог просматривать личные данные каждого пользователя, зарегистрированного в Национальной системе здравоохранения Бразилии Sistema Único de Saúde (SUS). Утечка данных раскрыла:
- полное имя человека;
- адрес проживания;
- телефонный номер;
- всю медицинскую карту.
Отмечается, что около 32 млн. записей принадлежит умершим жителям страны. Слитые данные актуальны на 2019 год.
Учетные данные для авторизации были закодированы с применением кодировки Base24, которую можно с легкостью декодировать. Практически каждый желающий мог просмотреть исходный код официального сайта Министерства здравоохранения Бразилии и учетные данные базы данных, нажав на F12 или на кнопку «Просмотр исходного кода» в контекстном меню.
Конфиденциальные медицинские записи высоко ценятся в даркнете, потому что в них обычно хранится большое количество конфиденциальной информации. Хакеры могут использовать такие данные для шантажа пациентов и медработников из-за деликатного характера украденных сведений.
Утекшие в сеть медицинские записи подвергают миллионы жителей Бразилии риску финансового мошенничества, захвата учетных записей на различных сервисах, кражи денег и персональных данных. Злоумышленники часть используют личные данные человека для создания поддельных профилей в целях совершения различных киберпреступлений.
Илья Колоченко, руководитель компании ImmuniWeb, прокомментировал новость: «Подобные утечки происходят из-за того, что организации нанимают для разработки систем безопасности самых низкооплачиваемых специалистов. Обычно разработка ПО и систем безопасности передается на аутсорсинг дешевым поставщикам, в результате чего заказчик получает низкокачественный код с соответствующим уровнем безопасности. Киберпреступники прекрасно знают об этом, поэтому им не составляет труда получить с подобных сайтов всю необходимую конфиденциальную информацию».