Les données personnelles de quelque 16 millions de Brésiliens, y compris leurs dossiers médicaux, auraient été laissées exposées pendant près d’un mois après qu’un scientifique des données ait publié des mots de passe pour les bases de données gouvernementales Covid-19.
Un journal brésilien a rapporté avoir réussi à accéder aux dossiers médicaux du président Jair Bolsonaro, des membres de sa famille, de sept ministres, dont le ministre de la Santé Eduardo Pazuello, de 17 gouverneurs et d’autres personnalités de haut niveau.
Les enregistrements ont été stockés dans deux bases de données répertoriant les personnes suspectées ou confirmées d’infections à Covid-19 et celles admises dans les hôpitaux pour traitement, a déclaré le journal Estadao. Il y avait des entrées pour quelque 16 millions de Brésiliens, et elles contenaient des informations très sensibles, y compris des détails personnels, des conditions préexistantes comme le cancer ou le VIH, des médicaments prescrits ou même à quel étage de l’hôpital un patient aurait pu être trouvé.
Aussi sur rt.com
Le Brésil autorise la reprise de l’essai de vaccin chinois après une brève suspension pour le suicide du sujet de l’étude
Ce trésor a été exposé par un seul data scientist, qui a publié une liste des identifiants et mots de passe nécessaires pour accéder aux bases de données sur sa page personnelle sur le référentiel de code informatique GitHub. Le journal a déclaré qu’il avait été informé de l’existence de la violation et avait vérifié l’authenticité des informations d’identification d’accès. Les mots de passe ont été divulgués le 28 octobre et supprimés seulement après qu’Estado a commencé à creuser la faille de sécurité.
La personne responsable de la fuite a été identifiée comme un employé de l’hôpital Albert Einstein de la ville de Sao Paulo. Il a déclaré au journal qu’il avait téléchargé la feuille de calcul alors qu’il travaillait sur un projet de modélisation informatique et qu’il avait oublié de le supprimer. Les mots de passe ont depuis été modifiés par les autorités.
Aussi sur rt.com
Continuez, rien à voir ici: le gouvernement australien insiste sur le fait que la collecte « accidentelle » de données COVIDSafe n’a pas violé la vie privée
Le ministère de la Santé et l’hôpital ont promis une enquête approfondie sur la fuite, mais ont déclaré que cela était apparemment dû à une erreur humaine plutôt qu’à un défaut de conception de leurs systèmes. Il n’était pas immédiatement clair pourquoi ces bases de données sensibles semblaient être protégées uniquement par des mots de passe et n’utilisaient pas une forme de vérification multifactorielle. Des systèmes plus robustes nécessitent des informations supplémentaires avant de donner accès aux utilisateurs, par exemple, un code court envoyé par SMS sur le téléphone d’une personne lorsqu’elle tente de se connecter.
Si vous aimez cette histoire, partagez-la avec un ami!
