Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Filtración de 243 millones de registros médicos en el sitio web del Ministerio de Salud de Brasil




La información personal de más de 243 millones de brasileños estuvo expuesta durante más de seis meses gracias a credenciales débilmente codificadas almacenadas en el código fuente del sitio web del Ministerio de Salud de Brasil. La filtración de datos expuso los registros médicos de brasileños vivos y fallecidos a un posible acceso no autorizado. El incidente fue el segundo reportado por la publicación brasileña Estadão y entre varios otros que afectaron recientemente al sistema de salud más grande de América del Sur.



La filtración de datos en el sitio web del Ministerio de Salud de Brasil expuso 243 millones de registros médicos durante más de 6 meses

  • El sistema Único de Saúde filtra los registros médicos de los pacientes expuestos

SUS (Sistema Único de Saúde)

Durante más de seis meses, se pudieron ver los datos personales de cualquier persona registrada en el Sistema Único de Saúde (SUS), el sistema nacional de salud de Brasil.

La filtración de datos expuso los nombres completos, las direcciones, los números de teléfono y los registros médicos completos de los brasileños que se inscribieron en el sistema de salud financiado con fondos públicos del gobierno.

Aproximadamente 32 millones de registros médicos pertenecían a brasileños fallecidos, dado que la población del país era de 211 millones en 2019.


Credenciales de la Base de Datos en el código fuente de la página web en base64

Las credenciales de inicio de sesión de la base de datos se codificaron utilizando la codificación Base64, que se podía decodificar fácilmente. Cualquiera podría haber visto el código fuente del sitio web y las credenciales de la base de datos utilizando el método abreviado de teclado F12 o la opción "Ver código fuente" del menú del navegador.

Posteriormente, los inicios de sesión de la base de datos expuestos podrían haber permitido a cualquiera acceder a los registros médicos de los brasileños.

También informó de otra filtración de datos que exponía los registros médicos de más de 16 millones de pacientes brasileños con COVID-19. La violación se produjo después de que un empleado subiera a GitHub una hoja de cálculo que contenía nombres de usuario, contraseñas y las claves de acceso al sistema E-SUS-VE.

La filtración de datos afectó a personas de alto perfil, incluido el presidente brasileño Jair Bolsonaro y su familia, gobernadores estatales y siete miembros del gabinete diagnosticados con COVID-19. Tanto los pacientes levemente enfermos como los que requerían hospitalización tuvieron sus antecedentes médicos expuestos en la filtración de datos.

Otra filtración de datos en el sistema e-SUS-Notifica también expuso las credenciales de inicio de sesión de la base de datos a través del código fuente. El sistema en línea permite a los brasileños registrarse y recibir notificaciones COVID-19 del gobierno oficial. La fuga de datos fue descubierta en junio por la ONG Open Knowledge Brasil (OKBR). La empresa de tecnología Zello, formalmente MBA Mobi, desarrolló el sistema y ha ganado más de $ 8.5 millones del Ministerio de Salud de Brasil desde 2017.

Los registros médicos tienen un buen precio en el mercado negro por contener grandes cantidades de información personal. Los ciberdelincuentes podrían utilizar los registros médicos robados para chantajear a los pacientes y a los proveedores de atención médica debido a su naturaleza sensible.

Los registros médicos expuestos también ponen a millones de brasileños en riesgo de fraude financiero, robo de identidad y apropiación de cuentas. Los actores de amenazas podrían usar datos personales para crear perfiles falsos para cometer más delitos.

Peor aún, la mayoría de los pacientes hospitalizados podrían desconocer la fuga de datos o no poder detener ninguna actividad fraudulenta.

Las recientes filtraciones de datos ocurren cuando la economía de Brasil está enferma y las muertes por COVID-19 en el país son las segundas más altas del mundo.

Dado el patrón predecible de filtraciones de datos de los sistemas de salud brasileños, parece que los sistemas afectados fueron desarrollados por un solo desarrollador con poco conocimiento de ciberseguridad. Además, cualquier desarrollador de software aficionado sabe que el código del sitio web se puede ver desde el navegador y que la codificación Base64 no oculta los datos a los atacantes.

Agrega que los "ataques consecuentes son difíciles, si no imposibles, de detectar de manera oportuna". Aconseja a las organizaciones que inviertan en la capacitación continua en ciberseguridad de los desarrolladores, monitoreen constantemente Internet en busca de código fuente filtrado y recuerden que "cuando una empresa de desarrollo de software externa ofrece un precio que es demasiado bueno para ser verdad, es probable que así sea".

Fuente:

https://www.cpomagazine.com/cyber-security/brazils-health-ministrys-website-data-leak-exposed-243-million-medical-records-for-more-than-6-months/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.