Informațiile personale a peste 243 de milioane de brazilieni au fost expuse timp de mai mult de șase luni datorită datelor de acreditare slab codificate, stocate în codul sursă al site-ului web al Ministerului Sănătății din Brazilia. Scurgerea datelor a expus dosarele medicale a cetățenilor brazilieni vii și decedați la posibilul acces neautorizat. Incidentul a fost al doilea raportat de publicația braziliană Estadão și se numără printre atele care au afectat recent cel mai mare sistem de sănătate din America de Sud.
Timp de mai mult de șase luni, datele personale aparținând oricărei persoane înregistrate la Sistema Único de Saúde (SUS), sistemul național de sănătate al Braziliei, ar fi putut fi vizualizate. Scurgerea datelor a expus numele complete, adresele, numerele de telefon și dosarele medicale complete ale brazilienilor înscrişi în sistemul de sănătate finanțat de guvern.
32 de milioane de dosare medicale din Brazilia
Aproximativ 32 de milioane de dosare medicale aparțineau brazilienilor decedați, dat fiind că populația țării era de 211 milioane în 2019.
Datele de conectare la baza de date au fost codificate folosind codificarea Base64, care ar putea fi ușor decodificată. Oricine ar fi putut vizualiza codul sursă al site-ului web și acreditările bazei de date folosind comanda rapidă de la tastatură F12 sau opțiunea „Vizualizare cod sursă” din meniul browserului.
Chiar luna trecută, Estadão a raportat, de asemenea, o altă scurgere de date, expunând peste 16 milioane de dosare medicale ale pacienților brazilieni cu COVID-19. Încălcarea a avut loc după ce un angajat a încărcat pe GitHub o foaie de calcul care conține nume de utilizator, parole și credenţialele de acces la sistemul E-SUS-VE.
Scurgerea datelor a afectat persoane cu profil înalt, inclusiv președintele brazilian Jair Bolsonaro și familia sa, guvernatorii de stat și șapte membri ai cabinetului diagnosticați cu COVID-19. Atât pacienții ușor bolnavi, cât și cei care au necesitat spitalizare au avut istoricul medical expus în scurgerea de date.
O altă scurgere de date din sistemul “e-SUS-Notifica” a expus, de asemenea, acreditările de conectare la baza de date prin codul sursă. Sistemul online permite brazilienilor să se înregistreze și să primească notificările COVID-19 ale guvernului.
Open Knowledge Brazilia (OKBR)
Scurgerea datelor a fost descoperită în iunie de către ONG-ul Open Knowledge Brasil (OKBR). Firma de tehnologie Zello, oficial MBA Mobi, a dezvoltat sistemul și a câștigat mai mult de 8,5 milioane de dolari de la ministerul sănătății din Brazilia din 2017. Expunerea dosarelor medicale pune milioane de persoane sub riscul provenit din partea criminalităţii cibernetice.
Dosarele medicale aduc un preț bun pe piața neagră deoarece conțin cantități mari de informații personale. Infractorii cibernetici ar putea folosi dosarele medicale furate pentru a șantaja pacienții și furnizorii de servicii medicale din cauza naturii lor sensibile.
Dosarele medicale expuse pun de asemenea milioane de brazilieni în pericol în faţa infracţiunilor de fraudă financiară, furt de identitate și preluare de conturi. Posibilii atacatori ar putea folosi detalii personale pentru a crea profiluri false pentru săvârșirea mai multor infracțiuni. Mai rău, majoritatea pacienților spitalizați ar putea să nu fie conștienți de scurgerea datelor sau să nu poată opri activitățile frauduloase. Scurgerile recente de date au avut loc atunci când economia Braziliei este puternic afectată iar numărul deceselor cauzate de COVID-19 al țării este al doilea ca mărime din lume.
Având în vedere tiparul previzibil al scurgerilor de date ale sistemelor de sănătate braziliene, se pare că sistemele afectate au fost dezvoltate de un singur dezvoltator cu puține cunoștințe de securitate cibernetică. În plus, orice dezvoltator de software amator știe că codul site-ului web ar putea fi vizualizat din browser și că codificarea Base64 nu ascunde datele atacatorilor.
Ilia Kolochenko, fondator și CEO al companiei de securitate web ImmuniWeb, a observat că astfel de scurgeri de date ușor de evitat provin din practica angajării dezvoltatorilor de sisteme ieftine.
„În timp ce multe organizații tind să externalizeze dezvoltarea de software către cei mai ieftini furnizori, obținând în cele din urmă calitatea și securitatea corespunzătoare a codului”, spune Kolochenko. „Infractorii cibernetici sunt perfect conștienți de aceste oportunități uimitoare și recoltează fără efort fructele care atârnă mult”.
El a adăugat că „atacurile rezultate sunt greu, dacă nu imposibil, de detectat în timp util”. El sfătuiește organizațiile să investească în formarea continuă a dezvoltatorilor în materie de securitate cibernetică, să monitorizeze în mod consecvent internetul pentru a descoperi codul sursă și să-și amintească că „atunci când o companie externă de dezvoltare software oferă un preț prea bun pentru a fi adevărat – probabil că este așa”.
Robert Prigge, CEO-ul lui Jumio, recomandă organizațiilor să verifice terțe părți pentru a evita pierderi similare de securitate. „Întrucât expunerea a fost cauzată de un dezvoltator terț, este esențial ca agențiile guvernamentale și întreprinderile să-și verifice cu atenție partenerii selectați, în special cei care gestionează datele consumatorilor”, notează Prigge.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.