Рубрика развивается при поддержке HP logo

Данные 243 миллионов жителей Бразилии попали в сеть из-за пароля в исходном коде государственного сайта Статьи редакции

Пароль полгода провисел в открытом виде на сайте местного Минздрава.

Утечка информации более чем 243 миллионов жителей Бразилии, включая живых и умерших, произошла из-за пароля к базе данных в исходном коде Минздрава страны. Веб-разработчики забыли убрать пароль из кода, любой желающий мог увидеть его в течение полугода. Об этом сообщила бразильская газета Estadao.

Репортёры издания вдохновились отчётом, который ещё в июне опубликовала бразильская неправительственная организация Open Knowledge Brasil. В документе говорилась, что похожий правительственный сайт допустил утечку информации о входе на другой ресурс, оставив данные в исходном коде.

Репортёры начали искать похожие проблемы на других правительственных сайтах и нашли аналогичную утечку в коде e-SUS-Notifica — государственного ресурса, через который жители страны могут получать официальные уведомления о пандемии Covid-19.

В исходном коде содержались логин и пароль в кодировке Base64, которую легко можно расшифровать. Данные позволяли получить доступ к SUS — официальной базе бразильского Минздрава, где хранится информация обо всех жителях страны, которые пользовались услугами здравоохранения с 1989 года.

Среди данных была вся личная информация жителей Бразилии, которую они предоставили правительству — от полных имён до адресов жилых домов и от телефонных номеров, до медицинских особенностей. Данные удалили из исходного кода только после публикации Estadao.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0440\u0430\u0437\u0438\u043b\u0438\u044f"], "comments": 38, "likes": 33, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 244359, "is_wide": false, "is_ugc": false, "date": "Fri, 04 Dec 2020 01:07:33 +0300", "is_special": false }
0
38 комментариев
Популярные
По порядку
Написать комментарий...

Культурный крюк

22

Интересно зачем в исходный код пихать пароль и при каких обстоятельствах это должно быть сделано? Они там базу подключают через хтмл?

Ответить

Влажный паркур

Культурный
5

Зачем вообще нужна база если пароль "встроен"? Наверное и данные пользователей были на какой-нибудь страничке в тегах <p>.

Ответить
10

Алло, база с 89 года не было никакого хтмля нахуй, может она вообще на коболе да фортране запилена ( ಠ ͜ʖಠ)

Ответить

Влажный паркур

ouxen
14

Алло

Да, да, я Вас слушаю.

Ответить
14

Это не прачечная

Ответить

Влажный паркур

ouxen
5

Это психбольница.

Ответить
2

В руках пациентов

Ответить
3

че там с деньгами?

Ответить
1

На FOXPRO тогда уж :)

Ответить
1

Шаришь

Ответить
0

Алло Йоба это ты?

Ответить
0

Забыли добавить .env в .gitignore

Ответить

Поразительный ГОСТ

Культурный
0

Прочитали про serverless клиенты, но жопой.

Ответить
0

Client-side скрипты с запросами в БД. Такое наверное ещё поискать надо было, чтобы внедрить.

Ответить
21

Скорее доставайте оттуда место проживания Рикардо Милоса!

Ответить
9

Я так же делаю - сохраняю пароль там, где я могу его быстро достать если забуду. Рад, что люди, ответственные за информационную безопасность целой страны, делают точно так же 

Ответить
7
Ответить
3

Жители фавелл в ужасе: кто-то украдёт данные об их бомжевании

Ответить
2

не называл бы их бомжами, интерьер в них получше моей хрущевки без ремонта

Ответить

Французский пёс_анон

1

Слили данные большего количества людей, чем проживает во всей Бразилии.

Ответить
5

"живых и умерших" ?

Ответить

Французский пёс_анон

Aleksey
0

Ну и может там не только граждане, но и иностранцы в базе.

Ответить
0

И все их твинки

Ответить

Культурный крюк

Французский
2

Может они там мертвыми душами бюджеты льют. Эмануэль Сантос Чичиков 

Ответить
1

сантуш. там португеш

Ответить

Влажный паркур

0

Какой-то простенький сайт раз там пароль "встроен".

Ответить
2

Не обязательно, просто кто-то в базу ходил прямо с фронтенда

Ответить
3

Зачем делать прокси-апи к приватному на бекенде, если можно обратиться к апи прямо из js? Всегда так делаю 💅

Ответить
5

Молодой человек, загляните вечером в кабинет начальника, вам положена премия ♂three♂hundred♂bucks♂

Ответить
0

Удобно

Ответить

Поразительный

Аркадий
0

Ну, можно таки, но аутентификацию конечно иначе строят

Ответить
1

Brasil kinda SUS

Ответить
0

Есть дамп базы? Мне для друга 

Ответить

Колоссальный бинокль

0

и это не топ популярных паролей

Ответить
0

Текст "Вы даёте согласие на обработку своих персональных данных" - читать так "Вы даёте согласие, что ваша персональная информация теперь будет доступна всем и даже тем кому она и не нафик не была нужна"

Ответить
Обсуждаемое
Новости
Оператора ФБК Павла Зеленского задержали. На него возбудили дело из‑за твита «давайте ******* эту недовласть»
Так он отреагировал на самосожжение нижегородской журналистки Ирины Славиной.
Петербург
В Петербурге под «мостом глупости» с надписью «Газель не проедет» застряла 200-я газель
Юбилей!
Технологии
Samsung представила три смартфона — Galaxy S21, S21+ и S21 Ultra с новым дизайном, экраном и камерами
Самая топовая модель получила поддержку стилуса, которая раньше была только у серии Note.
Популярное за три дня
Новости
Художница из Уфы рассказала об угрозах из-за рисунков полуодетых людей в башкирских национальных костюмах
Девушка обратилась в полицию.
Интернет
С актёрами дубляжа даже обычная поездка на машине превращается в сцену из фильма
Повседневный диалог смотрится совсем иначе, если его герои — люди, которые привыкли озвучивать кино и сериалы.
Интернет
Резонанс: Возвращение Навального в Россию
Пока одни опасаются повторной попытки отравления, другие шутят, что власти оперативно ликвидируют «Победу» или отменят все рейсы.

Комментарии

null