在网络开发人员在巴西卫生部官方网站的源代码中至少保留了六个重要政府数据库的密码后,在线上已经有超过2.43亿巴西人的个人信息(包括在世和已故)已在线披露。个月。
该安全情报是由巴西报纸Estadao的记者发现的,该报纸上周发现,在一名员工上传了包含用户名,密码,电子表格的电子表格后,圣保罗一家医院泄露了超过1600万巴西COVID-19患者的个人和健康信息。并访问GitHub上敏感的政府系统的密钥。
Estadao的记者说,他们受到巴西非政府组织Open Knowledge Brasil(OKBR)在6月份提交的一份报告的启发,当时该报告称,一个类似的政府网站也将暴露的登录信息留给了该网站上的另一个政府数据库。源代码。
由于任何人都可以在浏览器中按F12键来访问和查看网站的源代码,因此Estadao的记者在其他政府网站中搜索了类似的问题。
他们在e-SUS-Notifica的源代码中发现了类似的漏洞,e-SUS-Notifica是一个门户网站,巴西公民可以在此注册并接收有关COVID-19大流行的官方政府通知。
记者说,该网站的源代码包含存储在Base64中的用户名和密码,该编码格式可以轻松解码以获取初始用户名和密码,而几乎不需要付出任何努力。
登录信息允许访问巴西卫生部的官方数据库SUS(SistemaÚnicodeSaúde),该数据库存储着所有签署了该国公共资助的卫生保健系统(于1989年建立)的巴西人的信息。 。
该数据库包含巴西人提供给政府的所有个人信息,从全名到家庭住址,从电话号码到医疗详细信息。 现在已经从网站的源代码中删除了凭据,但是尚不清楚是否有人访问过该系统并窃取了巴西公民的数据。 如果发现未经授权的访问,这将是该国历史上最大的安全漏洞。