En un incidente sin precedentes, los datos personales de más de 240 millones de brasileños han sido expuestos en línea debido a que un equipo de desarrollo web dejó la contraseña de una base de datos del Ministerio de Salud en el código del archivo. La información estuvo alrededor de seis meses expuesta e incluye registros tanto de ciudadanos vivos como fallecidos.
El incidente fue detectado por un investigador de un medio local, mismo que hace unos días reveló una situación similar afectando a millones de pacientes diagnosticados con COVID-19 debido al descuido de un importante hospital de Sao Paulo.
El reporte indica que este hallazgo fue posible en colaboración con la organización no gubernamental Open Knowledge Brasil (OKBR), que ha revelado múltiples hallazgos similares afectando a otras plataformas operadas por el gobierno brasileño. Acorde al investigador, cualquiera que presione F12 en su navegador podría acceder y analizar el código del sitio web en cuestión, lo que permite a los expertos una primera aproximación sobre la seguridad con la que opera un sitio web.
Este hallazgo fue posible al analizar el código de e-SUS-Notifica, un portal web del Ministerio de Salud en el que los ciudadanos brasileños pueden registrarse y recibir notificaciones oficiales sobre el estado actual del COVID-19 en Brasil.
La investigación menciona que el código fuente del sitio web contenía el nombre de usuario y contraseñas almacenadas en Base64, un formato de codificación que puede ser descifrado con facilidad para obtener acceso a un sitio web expuesto. Esta falla permitió el acceso al Sistema Único de Saúde (SUS), que almacena los registros de todos los ciudadanos brasileños inscritos en el sistema de salud pública a partir de 1989.
Las bases de datos en este sistema contienen todos los registros que un ciudadano brasileño puede entregar su gobierno, incluyendo nombres completos, domicilios particulares, números telefónicos e información médica. Aunque el Ministerio de Salud fue notificado y esta información ha sido removida del código del sitio web, es imposible saber si alguien logró acceder a esta información. En caso de confirmarse el acceso ilegítimo a esta información, podríamos estar hablando de la mayor brecha de datos en la historia de Brasil.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.