Персональные данные 16 млн пациентов из Бразилии были скомпрометированы из-за таблицы с паролями, размещенной на GitHub



    Согласно информации издания Estadao, в открытом доступе на GitHub была несколько дней размещена электронная таблица с именами пользователей, паролями и ключами доступа к информационным системам Министерства здравоохранения Бразилии. С помощью этих учетных данных, например, можно было скачать две базы данных с информацией о миллионах бразильских пациентов, включая их имена, адреса проживания, истории болезни и режимы приема лекарств.

    В конце ноября 2020 года пользователь GitHub обнаружил на личной странице сотрудника больницы имени Альберта Эйнштейна в городе Сан-Паулу опубликованную в открытом доступе данную электронную таблицу.

    После обнаружения этой находки пользователь проинформировал журналистов Estadao. В издании с помощью экспертов проанализировали данные и уведомили администрацию больницы и Министерство здравоохранения Бразилии об утечке. После этого таблица была оперативно удалена с GitHub, а логины и пароли, фигурировавшие в ней, были сброшены и изменены. Пример использования учетных данных из этой таблицы на GitHub.

    Оказалось, что разместивший таблицу сотрудник, загрузил ее на платформу GitHub в тестовых целях во время работы над проектом компьютерного моделирования для Министерства здравоохранения, а потом просто забыл удалить ее. Причем это размещение таблицы было им сделано еще в конце октября.

    Министерство здравоохранения Бразилии пообещало провести тщательное расследование утечки. Представители администрации больницы заявили, что этот инцидент, по всей видимости, произошел из-за человеческой ошибки, а не из-за конструктивного недостатка в системе защиты информационных систем или хакерской атаки.

    Комментарии 17

      +2
      Интересно, а что можно тестировать путем загрузки базы данных на Github? Смысл?
        +3
        Кто-то сделал дамп базы, случайно скопировал в папку репозитория, а оттуда файл автоматический ушёл в гитхаб.
          +2

          Дамп базы, в которой лежат пароли. Okay.

            0
            В БД лежат обычно ХЭШИ паролей или в Бразилии все по другому?
            +1
            Спасибо за пояснение, но:
            Оказалось, что разместивший таблицу сотрудник, загрузил ее на платформу GitHub в тестовых целях во время работы над проектом компьютерного моделирования для Министерством здравоохранения и потом просто забыл удалить ее. Причем это было им сделано еще в конце октября.

            Все-таки он намеренно загрузил базу, но зачем?
            +2
            Встречал я всякие странные опен сорс проекты, которые зачем-то в гитхабе хостят какую-то кофигурацию для деплоя и один из шагов по поднятию — сделай форк и отредактируй нужные файлы. Не удивлюсь если тут похожая ситуация.
            +1
            del
            Альберта Эйнштейна? Что-то подозрительно, а есть нормальные пруфы?

            Подумал это имя сотрудника
              +1
              я 3 раза перечитывал, прежде, чем понял, что это название больницы. Дело в том, что там лексическая ошибка, должно быть «больница имени ...»
                +1
                Такое написание — норма, пусть и употребляемая, как просторечие (которая может быть кому-то непривычна чисто случайно).
                Больница Ганнушкина, Больница святого Владимира.
                Плюс, в статье есть фото, на котором видно название на входе.
                +1

                Тот же глюк словил.
                Не хватает естественным языкам скобок для группировки слов.

                +1

                В смысле – "не из-за конструктивной ошибки"? Хранение паролей в открытом виде (не хэшей) перестало быть таковой?

                  0
                  А теперь представьте какие были-бы комменты еслиб это произошло в одной из российских госструктур.
                    +3
                    представьте какие были-бы комменты <...> в одной из российских госструктур
                    комментарии бразильцев? Или россиян?
                      0

                      Не было бы комментов (российских), всё виноваты злые бразильские хакеры.
                      Ну и что, что лежит в открытом виде — а вы не смотрите — тогда и никакой опасности не будет
                      /s

                      +1
                      разместивший таблицу сотрудник, загрузил ее на платформу GitHub
                      по всей видимости, произошел из-за человеческой ошибки, а не из-за конструктивного недостатка в системе защиты

                      :) если вся защита на человеке — это и есть конструкторский недостаток
                      Как он сам получили эти доступы все?
                        0

                        Тестовые доступы.
                        Впрочем, нередко разрабам даётся и доступ к проду (в моей практике случалось такое)

                        0

                        Это именно конструктивный недостаток держать пароли в бд, тем более что он там исследовал, что ему пароли понадобились. Ну бред вобщем. Сотрудник намеренно слил данные.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое