Données de 243 millions de Brésiliens exposées sur internet
Le mot de passe permettant d'accéder à une base de données très sensible du ministère de la Santé était stocké dans le code source d'un site du gouvernement!
Plusieurs politiciens exposées, dont le président
Les informations personnelles de plus de 243 millions de Brésiliens vivants ou décédés ont été révélées en ligne: les développeurs Web ont laissé le mot de passe de la base de données publique dans le code source du site officiel du ministère brésilien de la Santé pendant au moins six mois.
La faille de sécurité a été découverte par des journalistes du journal brésilien Estadao, le même journal qui a découvert la semaine dernière qu'un hôpital de Sao Paolo avait transmis des informations personnelles et médicales à plus de 16 millions de patients brésiliens infectés par Covid - 19. La première violation de données a été provoquée. par un employé qui a téléchargé une feuille de calcul avec des noms d'utilisateur, des mots de passe et des clés système publiques sensibles sur GitHub.
Beaucoup de fuites de données pendant la pandémie
Les journalistes se disent inspirés par un article publié en juin par l'ONG brésilienne Open Knowledge Brasil (OKBR). L'ONG a ensuite signalé qu'un site Web gouvernemental similaire laissait des identifiants exposés dans le code source d'un site Web de base de données gouvernemental.
Étant donné que le code source d'un site est accessible et consultable par quiconque appuie sur F12 dans son navigateur, les journalistes ont recherché des problèmes similaires sur d'autres sites gouvernementaux. Et ils ont trouvé: dans le code source de e-SUS-Notifica, un portail Web où les citoyens brésiliens peuvent s'inscrire et recevoir les annonces officielles du gouvernement sur la pandémie de Covid-19.
Selon les journalistes, le code source du site comprend un nom d'utilisateur et un mot de passe stockés en Base64, un format de cryptage qui peut être facilement décodé pour le nom d'utilisateur et le mot de passe.
Les informations de connexion ont permis d'accéder à SUS (Sistema Único de Saúde), la base de données officielle du ministère brésilien de la Santé, qui stocke des informations sur tous les Brésiliens inscrits dans le système de santé publique du pays, créée en 1989.
La base de données contient toutes les informations personnelles qu'un citoyen brésilien donne à son gouvernement: nom complet, adresse postale, numéro de téléphone et informations médicales.
Les informations ont maintenant été supprimées du code source du site, mais on ne sait pas si un tiers a effectivement utilisé ce mot de passe pour accéder aux données. Si un accès non autorisé était détecté, ce serait la plus grande faille de sécurité de l'histoire du pays. LIEN