按 F12獲取登陸資料,一鍵登陸巴西衛生部資料庫

Editor 發表於 2020-12-04

提到巴西你能想到什麼?足球與梅西?還是桑巴與美女?但最近這個國家卻頻頻與資訊洩露事件掛鉤。


一週前,有GitHub使用者發現一名醫院員工在其個人賬號中上傳了一份包含使用者名稱、密碼和敏感政府系統訪問金鑰的電子表格,線上洩露了近1600萬巴西COVID-19患者的個人資訊。


近日又有當地媒體 Estadao 報導稱,有超過2.43億巴西人的個人資訊已經在網路上曝光。這些資料來自於巴西衛生部官方網站的原始碼,開發者在其中發現了重要政府資料庫。


巴西非政府組織 Open Knowledge Brasil(OKBR)曾在今年 6 月份提交了一份報告,指出政府網站的原始碼中存有另一個政府資料庫的登入資訊。


受這份報告的啟發,Estadao 對巴西衛生部的官網 e-SUS-Notifica(一個入口網站)進行了調查,巴西公民可以在此註冊並接收有關COVID-19大流行的官方政府通知。


記者發現,任何人在瀏覽器中按 F12 鍵都可以訪問和檢視網站的原始碼。該網站的原始碼包含以Base64格式儲存的使用者名稱和密碼,該編碼格式可以輕鬆被解碼以獲取初始使用者名稱和密碼。


按 F12獲取登陸資料,一鍵登陸巴西衛生部資料庫


這個使用者名稱和密碼可以用來登入巴西衛生部的官方資料庫SUS(SistemaÚnico de Saúde)。該資料庫建立於1989年,儲存了所有簽署了該國公共資助醫療系統的公民資訊,包含巴西人的所有個人資訊,如全名、家庭住址、電話號碼、醫療詳細資訊等。


現在官方已經從站點的原始碼中刪除了憑據,但是尚不清楚是否有人訪問過該系統並竊取資料。


隨著網路安全的發展,各個國家機構資料洩露事件發生的越來越頻繁。單單美國,其各政府部門在2019年就發生了28581起網路安全事件,英國、德國、俄羅斯、巴基斯坦等多個國家也無可倖免。


很顯然,網路安全已經成為各個國家安全核心中的核心。