聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Web 开发人员不慎将一个关键政府数据库的密码遗留在巴西卫生部某官网的源代码中,且遗留时间超过6个月,导致超过2.43亿巴西公民(在世以及不在世)的个人信息遭暴露。
这起安全事件是由巴西报纸 Estadao 的记者发现的,该报纸上周层发现圣保罗的一家医院泄露了超过1600多万名巴西 COVID-19 病患的个人信息和医疗信息,起因是一名员工将含有用户名、密码和敏感政府系统的访问密钥的表单提交到了 GitHub。
Estadao 的记者表示他们受到了6月份由巴西非营利组织 Open Knowledge Brasil (OKBR) 提交的一份报告启发。当时,OKBR 报道称一家类似的政府网站也将另一家政府数据库的登录信息暴露到网站源代码中。
由于任何人都可在浏览器中按下F12访问并查看网站源代码,因此 Estadao 的记者在其它政府网站上也找到了类似问题。他们在 e-SUS-Notifica 网站的源代码中发现了类似的泄露事故。该网站供巴西公民签名并接受巴西政府发出的关于 COVID-19 疫情的官方通知。记者表示该网站的源代码中包含了存储在 Base64 中的用户名和密码。Base64 作为一种编码格式,可轻易被解码以获取起始用户名和密码。
登录信息可导致攻击者访问巴西卫生部的官方数据库 SUS,其中存储着所有注册了巴西公共医疗系统的公民信息。该系统建立于1989年,包含巴西公民向政府提供的所有个人信息,如全名、家庭住址、电话号码和医疗详情。
这些凭据目前已从站点的源代码中删除,但目前仍不清楚是否有人访问了该系统并获取了巴西公民的数据。如发现越权访问情况,则该事件将称为巴西史上规模最大的安全泄露事件。
推荐阅读
D-Link 路由器又曝漏洞 用户被重定向至虚假巴西银行
芬兰拟立法允许公民在遭受大规模数据泄露事件后修改个人身份信息
软件错误暴露五分之一丹麦公民的 ID 号码
原文链接
/article/data-of-243-million-brazilians-exposed-online-via-website-source-code/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 ”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个“在看” 或 "赞” 吧~