Pixabay.com

Персональные данные свыше 243 млн бразильцев находились в открытом доступе в течение по меньшей мере шести месяцев из-за ошибки в коде сайта Министерства здравоохранения страны. Первым об этом сообщило издание Estadão.

Как пишет The Verge, речь идет о созданной ведомством в 1989 году базе данных SUS, которая содержит полные имена, адреса и телефонные номера граждан, а также иные сведения, которые предоставили сами граждане, включая медицинскую информацию. Количество записей в базе заметно превышает численность населения Бразилии (примерно 211 млн человек), так как в ней хранятся записи и об умерших.

Доступ к базе мог получить практически любой желающий, так как разработчики сайта по ошибке оставили в его коде логин и пароль от базы. Они были зашифрованы при помощи стандарта Base64, но могли быть легко декодированы - этот стандарт обеспечивает слабое шифрование по современным меркам. После сообщений СМИ логин и пароль удалили из кода сайта.

Найти уязвимость журналистам помог июньский отчет бразильской неправительственной организации Open Knowledge Brasil. В нем говорилось о другом государственном сайте, допустившем похожую утечку. После этого репортеры начали искать похожие проблемы на других госсайтах, пишет TJ.

В настоящее время неизвестно, воспользовался ли кто-то уязвимостью сайта для скачивания базы, но данные из нее могут найти покупателей на черном рынке, и не исключено, что в итоге базу выставят на продажу.