Рубрика развивается при поддержке HP logo

Данные 243 миллионов жителей Бразилии попали в сеть из-за пароля в исходном коде государственного сайта Статьи редакции

Пароль полгода провисел в открытом виде на сайте местного Минздрава.

Утечка информации более чем 243 миллионов жителей Бразилии, включая живых и умерших, произошла из-за пароля к базе данных в исходном коде Минздрава страны. Веб-разработчики забыли убрать пароль из кода, любой желающий мог увидеть его в течение полугода. Об этом сообщила бразильская газета Estadao.

Репортёры издания вдохновились отчётом, который ещё в июне опубликовала бразильская неправительственная организация Open Knowledge Brasil. В документе говорилась, что похожий правительственный сайт допустил утечку информации о входе на другой ресурс, оставив данные в исходном коде.

Репортёры начали искать похожие проблемы на других правительственных сайтах и нашли аналогичную утечку в коде e-SUS-Notifica — государственного ресурса, через который жители страны могут получать официальные уведомления о пандемии Covid-19.

В исходном коде содержались логин и пароль в кодировке Base64, которую легко можно расшифровать. Данные позволяли получить доступ к SUS — официальной базе бразильского Минздрава, где хранится информация обо всех жителях страны, которые пользовались услугами здравоохранения с 1989 года.

Среди данных была вся личная информация жителей Бразилии, которую они предоставили правительству — от полных имён до адресов жилых домов и от телефонных номеров, до медицинских особенностей. Данные удалили из исходного кода только после публикации Estadao.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0440\u0430\u0437\u0438\u043b\u0438\u044f"], "comments": 38, "likes": 33, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 244359, "is_wide": false, "is_ugc": false, "date": "Fri, 04 Dec 2020 01:07:33 +0300", "is_special": false }
0
38 комментариев
Популярные
По порядку
Написать комментарий...

Верхний утюг

22

Интересно зачем в исходный код пихать пароль и при каких обстоятельствах это должно быть сделано? Они там базу подключают через хтмл?

Ответить

Архитектурный щит

Верхний
5

Зачем вообще нужна база если пароль "встроен"? Наверное и данные пользователей были на какой-нибудь страничке в тегах <p>.

Ответить
10

Алло, база с 89 года не было никакого хтмля нахуй, может она вообще на коболе да фортране запилена ( ಠ ͜ʖಠ)

Ответить

Архитектурный

ouxen
14

Алло

Да, да, я Вас слушаю.

Ответить
14

Это не прачечная

Ответить

Архитектурный

ouxen
5

Это психбольница.

Ответить
2

В руках пациентов

Ответить
3

че там с деньгами?

Ответить
1

На FOXPRO тогда уж :)

Ответить
1

Шаришь

Ответить
0

Алло Йоба это ты?

Ответить
0

Забыли добавить .env в .gitignore

Ответить

Системный диод

Верхний
0

Прочитали про serverless клиенты, но жопой.

Ответить
0

Client-side скрипты с запросами в БД. Такое наверное ещё поискать надо было, чтобы внедрить.

Ответить
21

Скорее доставайте оттуда место проживания Рикардо Милоса!

Ответить
9

Я так же делаю - сохраняю пароль там, где я могу его быстро достать если забуду. Рад, что люди, ответственные за информационную безопасность целой страны, делают точно так же 

Ответить
7
Ответить
3

Жители фавелл в ужасе: кто-то украдёт данные об их бомжевании

Ответить
2

не называл бы их бомжами, интерьер в них получше моей хрущевки без ремонта

Ответить

Железный шмель

1

Слили данные большего количества людей, чем проживает во всей Бразилии.

Ответить
5

"живых и умерших" ?

Ответить

Железный шмель

Aleksey
0

Ну и может там не только граждане, но и иностранцы в базе.

Ответить
0

И все их твинки

Ответить

Верхний утюг

Железный
2

Может они там мертвыми душами бюджеты льют. Эмануэль Сантос Чичиков 

Ответить
1

сантуш. там португеш

Ответить

Архитектурный щит

0

Какой-то простенький сайт раз там пароль "встроен".

Ответить
2

Не обязательно, просто кто-то в базу ходил прямо с фронтенда

Ответить
3

Зачем делать прокси-апи к приватному на бекенде, если можно обратиться к апи прямо из js? Всегда так делаю 💅

Ответить
5

Молодой человек, загляните вечером в кабинет начальника, вам положена премия ♂three♂hundred♂bucks♂

Ответить
0

Удобно

Ответить

Системный диод

Аркадий
0

Ну, можно таки, но аутентификацию конечно иначе строят

Ответить
1

Brasil kinda SUS

Ответить
0

Есть дамп базы? Мне для друга 

Ответить

Резиновый мангал

0

и это не топ популярных паролей

Ответить
0

Текст "Вы даёте согласие на обработку своих персональных данных" - читать так "Вы даёте согласие, что ваша персональная информация теперь будет доступна всем и даже тем кому она и не нафик не была нужна"

Ответить
Обсуждаемое
Новости
«Он один с нами борется, кто это такой?»: в Госдуме заговорили о Навальном — Жириновский посвятил ему целую речь
Лидер ЛДПР призвал лишить оппозиционера свободы на 20 лет и предложить принять меры, чтобы не появлялись «новые Навальные».
Интернет
«Когда беспредел становится нормой, его жертвами часто становятся вообще все»: Дудь написал пост о суде над Навальным
Политик давал интервью блогеру два раза, в том числе после отравления.
Новости
Навального арестовали на 30 суток сразу после возвращения в Россию. Заседание прошло в отделе полиции
Журналистов не пускали в здание, а сам политик счёл происходящее «наивысшей степени беззаконием».
Популярное за три дня
Новости
Навальный выпустил расследование про «дворец Путина» в Краснодарском крае. Главное
«С этого момента миллионы россиян смогут побывать дома у Путина».
Наука
К слепому мужчине вернулось зрение после пересадки искусственной роговицы нового типа
Имплант внедрили прямо в стенку глаза без донорской ткани — эффект проявился мгновенно.
Новости
Навального арестовали на 30 суток сразу после возвращения в Россию. Заседание прошло в отделе полиции
Журналистов не пускали в здание, а сам политик счёл происходящее «наивысшей степени беззаконием».

Комментарии

null