Данные 243 млн бразильцев оказались в сети из-за оставленного пароля в коде госсайта

Минздрав Бразилии допустил утечку данных о 243 млн чел., включая умерших. Разработчики забыли удалить пароль к базе данных из исходного кода. Его мог увидеть любой пользователь в течение шести месяцев. Об этом пишет Estadao.

Минувшим летом бразильская НКО Open Knowledge Brasil обнародовала отчет, из которого следовало, что другой правительственный веб-ресурс допустил утечку данных о входе на другой сайт. Как и в случае с сайтом бразильского Минздрава, данные для входа содержались в исходном коде.

Журналисты решили проверить все остальные правительственные веб-ресурсы на наличие похожих проблем. В результате им удалось обнаружить аналогичную утечку в исходном коде госсайта e-SUS-Notifica, который используется бразильцами для получения официальных данных об эпидемии.

Логин и пароль в исходном коде содержались в кодировке Baase64. Расшифровать ее большого труда не составляет. Их можно было использовать для получения доступа к базе данных SUS. В ней Минздрав Бразилии хранит сведения обо всех жителях, пользующихся здравоохранительными услугами с 1989 года. В базе содержатся полные имена и адреса бразильцев, их телефонные номера, медицинские особенности и пр. Пароль и логин из исходного кода сайта были удалены только после публикации Estadao.