243 triệu hồ sơ sức khỏe Brazil bị lộ vì mật khẩu để lại trong mã nguồn trang web

09:30 | 23/12/2020
Nguyễn Anh Tuấn (theo SiliconAngle)

Đ/N A NGOAN KẾT LUẬN LÀ ĐÃ BT LẠI CHƯA, CÓ ĐĂNG ĐC KO?Thông tin cá nhân của 243 triệu người ở Brazil đã bị lộ trực tuyến sau khi mật khẩu truy cập thông tin được các nhà phát triển để lại trong mã nguồn của một trang web chính thức của chính phủ Brazil.

Được báo cáo lần đầu tiên hôm 2/12 bởi ấn phẩm Estadao của Brazil, dữ liệu được thu thập bởi Sistema Único de Saúde, hệ thống y tế quốc gia của Brazil. Dữ liệu bị lộ bao gồm tên đầy đủ, địa chỉ và số điện thoại. Số lượng hồ sơ trong cơ sở dữ liệu vượt quá dân số hiện tại của Brazil là 209 triệu người vì nó bao gồm thông tin của những người đã đăng ký trước đó đã qua đời.

Theo ZDNet, bất kỳ ai nhấn phím F12 trong trình duyệt của họ đều có thể truy cập và xem xét mã nguồn của trang web bao gồm mật khẩu. Tên người dùng và mật khẩu được lưu trữ theo Base64, một định dạng có thể dễ dàng giải mã để lấy thông tin xác thực để truy cập dữ liệu.

Ngày 3/12/2020, trang Globo đưa tin, cơ quan Chính phủ Brazil đã nói rằng mặc dù dữ liệu có khả năng bị lộ, lọt nhưng không có sự truy cập bất hợp pháp vào thông tin.

Robert Prigge, giám đốc điều hành của công ty xác minh danh tính Jumio Corp., thông tin cho SiliconANGLE rằng: “Cơ sở dữ liệu bị lộ có chứa thông tin của 243 triệu người Brazil khiến nạn nhân có nguy cơ bị chiếm đoạt tài khoản và các hình thức lừa đảo khác. Những kẻ gian lận có thể tận dụng thông tin vi phạm để mạo danh công dân và truy cập vào bất kỳ tài khoản nào được thiết lập với thông tin bị lộ, nơi chúng có thể khóa người dùng và đánh cắp lợi ích. Tội phạm mạng cũng có thể sử dụng dữ liệu bị lộ của những công dân đã qua đời để tạo ra danh tính tổng hợp, có thể được sử dụng để thực hiện hành vi gian lận bổ sung”.

Ông nói thêm, vì sự cố lộ dữ liệu là do nhà phát triển bên thứ ba gây ra, nên các cơ quan chính phủ và doanh nghiệp quan trọng cần kiểm tra kỹ lưỡng các đối tác đã chọn của họ, đặc biệt là những đối tác xử lý và quản lý dữ liệu người tiêu dùng. Ông nói: “Ngay cả khi các doanh nghiệp đã tự mình vượt qua các lỗ hổng bảo mật, những nỗ lực của họ sẽ trở nên vô nghĩa nếu họ không đảm bảo rằng các nhà cung cấp của họ đã làm như vậy”.

Ilia Kolochenko, người sáng lập và giám đốc điều hành của công ty bảo mật web ImmuniWeb, lưu ý rằng nhiều tổ chức có xu hướng thuê ngoài việc phát triển phần mềm cho các nhà cung cấp rẻ nhất, và kết cục nhận được chất lượng và độ bảo mật tương ứng của mã.

Kolochenko cho biết: “Tội phạm mạng hoàn toàn nhận thức được những cơ hội tuyệt vời này và dễ dàng thu hoạch thành quả lâu dài. Tệ hơn nữa, những sự cố như vậy và các cuộc tấn công do hậu quả rất khó, nếu không muốn nói là không thể phát hiện kịp thời”.

https://siliconangle.com/2020/12/03/243m-brazilian-health-records-exposed-password-left-website-source-code/