Рубрика развивается при поддержке HP logo

Данные 243 миллионов жителей Бразилии попали в сеть из-за пароля в исходном коде государственного сайта Статьи редакции

Пароль полгода провисел в открытом виде на сайте местного Минздрава.

Утечка информации более чем 243 миллионов жителей Бразилии, включая живых и умерших, произошла из-за пароля к базе данных в исходном коде Минздрава страны. Веб-разработчики забыли убрать пароль из кода, любой желающий мог увидеть его в течение полугода. Об этом сообщила бразильская газета Estadao.

Репортёры издания вдохновились отчётом, который ещё в июне опубликовала бразильская неправительственная организация Open Knowledge Brasil. В документе говорилась, что похожий правительственный сайт допустил утечку информации о входе на другой ресурс, оставив данные в исходном коде.

Репортёры начали искать похожие проблемы на других правительственных сайтах и нашли аналогичную утечку в коде e-SUS-Notifica — государственного ресурса, через который жители страны могут получать официальные уведомления о пандемии Covid-19.

В исходном коде содержались логин и пароль в кодировке Base64, которую легко можно расшифровать. Данные позволяли получить доступ к SUS — официальной базе бразильского Минздрава, где хранится информация обо всех жителях страны, которые пользовались услугами здравоохранения с 1989 года.

Среди данных была вся личная информация жителей Бразилии, которую они предоставили правительству — от полных имён до адресов жилых домов и от телефонных номеров, до медицинских особенностей. Данные удалили из исходного кода только после публикации Estadao.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0431\u0440\u0430\u0437\u0438\u043b\u0438\u044f"], "comments": 38, "likes": 33, "favorites": 8, "is_advertisement": false, "subsite_label": "tech", "id": 244359, "is_wide": false, "is_ugc": false, "date": "Fri, 04 Dec 2020 01:07:33 +0300", "is_special": false }
0
38 комментариев
Популярные
По порядку
Написать комментарий...

Нижний браслет

22

Интересно зачем в исходный код пихать пароль и при каких обстоятельствах это должно быть сделано? Они там базу подключают через хтмл?

Ответить

Хитрый пришелец

Нижний
5

Зачем вообще нужна база если пароль "встроен"? Наверное и данные пользователей были на какой-нибудь страничке в тегах <p>.

Ответить
10

Алло, база с 89 года не было никакого хтмля нахуй, может она вообще на коболе да фортране запилена ( ಠ ͜ʖಠ)

Ответить

Хитрый пришелец

ouxen
14

Алло

Да, да, я Вас слушаю.

Ответить
14

Это не прачечная

Ответить

Хитрый пришелец

ouxen
5

Это психбольница.

Ответить
2

В руках пациентов

Ответить
3

че там с деньгами?

Ответить
1

На FOXPRO тогда уж :)

Ответить
1

Шаришь

Ответить
0

Алло Йоба это ты?

Ответить
0

Забыли добавить .env в .gitignore

Ответить

Импортный колос

Нижний
0

Прочитали про serverless клиенты, но жопой.

Ответить
0

Client-side скрипты с запросами в БД. Такое наверное ещё поискать надо было, чтобы внедрить.

Ответить
21

Скорее доставайте оттуда место проживания Рикардо Милоса!

Ответить
9

Я так же делаю - сохраняю пароль там, где я могу его быстро достать если забуду. Рад, что люди, ответственные за информационную безопасность целой страны, делают точно так же 

Ответить
7
Ответить
3

Жители фавелл в ужасе: кто-то украдёт данные об их бомжевании

Ответить
2

не называл бы их бомжами, интерьер в них получше моей хрущевки без ремонта

Ответить

Английский томагавк_два

1

Слили данные большего количества людей, чем проживает во всей Бразилии.

Ответить
5

"живых и умерших" ?

Ответить

Английский томагавк_два

Aleksey
0

Ну и может там не только граждане, но и иностранцы в базе.

Ответить
0

И все их твинки

Ответить

Нижний браслет

Английский
2

Может они там мертвыми душами бюджеты льют. Эмануэль Сантос Чичиков 

Ответить
1

сантуш. там португеш

Ответить

Хитрый пришелец

0

Какой-то простенький сайт раз там пароль "встроен".

Ответить
2

Не обязательно, просто кто-то в базу ходил прямо с фронтенда

Ответить
3

Зачем делать прокси-апи к приватному на бекенде, если можно обратиться к апи прямо из js? Всегда так делаю 💅

Ответить
5

Молодой человек, загляните вечером в кабинет начальника, вам положена премия ♂three♂hundred♂bucks♂

Ответить
0

Удобно

Ответить

Импортный колос

Аркадий
0

Ну, можно таки, но аутентификацию конечно иначе строят

Ответить
1

Brasil kinda SUS

Ответить
0

Есть дамп базы? Мне для друга 

Ответить

Отдаленный меч

0

и это не топ популярных паролей

Ответить
0

Текст "Вы даёте согласие на обработку своих персональных данных" - читать так "Вы даёте согласие, что ваша персональная информация теперь будет доступна всем и даже тем кому она и не нафик не была нужна"

Ответить
Обсуждаемое
Интернет
С актёрами дубляжа даже обычная поездка на машине превращается в сцену из фильма
Повседневный диалог смотрится совсем иначе, если его герои — люди, которые привыкли озвучивать кино и сериалы.
Новости
Названы результаты экспертизы тела рэпера Картрайта
В среду, 13 января, стали известны результаты судмедэкспертизы тела Александра Юшко, известного как Энди Картрайт. Как сообщил адвокат потерпевшей стороны Антон Кобит, обвиняемая в убийстве жена жертвы Марина Кохал не только расчленила Юшко на 15 кусков, но и распотрошила тело.
Новости
«Большим анонсом» от Apple оказались инвестиции в борьбу с расизмом. СМИ ожидали начала вакцинации в Apple Store
Компания поддержит чернокожих разработчиков и предпринимателей.
Популярное за три дня
Новости
Навальный анонсировал возвращение в Россию 17 января. Его вывезли из страны пять месяцев назад на лечение
«Приехать в Германию было не моим выбором. Я оказался здесь, потому что меня пытались убить».
Новости
Художница из Уфы рассказала об угрозах из-за рисунков полуодетых людей в башкирских национальных костюмах
Девушка обратилась в полицию.
Истории
День рождения Осипа Эмильевича Мандельштама. Человека, предсказавшего свою смерть
Мы живём, под собою не чуя страны,Наши речи за десять шагов не слышны…

Комментарии

null