Datos personales de más de 243 millones de brasileños, tanto de personas vivas como ya fallecidas, estuvieron expuestos durante al menos seis meses en Internet, aunque no se registró acceso a la información. Así lo confirmó un reporte del medio local por “O Estado de S.Paulo”, tras descubrir que desarrolladores de un sitio web del Ministerio de Salud dejaron dentro del código fuente las contraseñas para acceder a una base de datos.
Con el antecedente de un fallo de seguridad similar detectado en junio de este año por la organización Open Knowledge Brasil (OKBR) en el sistema e-SUS Notifica, un portal del Ministerio de Salud en el que los brasileños pueden registrarse para obtener información oficial sobre la pandemia, reporteros del medio de comunicación revisaron otro sitio del gobierno y descubrieron un caso similar. En este caso se descubrió la existencia de datos de inicio de sesión, como nombres de usuario y contraseñas, que quedaron expuestos en el código fuente almacenados cifrados en base64, un algoritmo de cifrado que puede ser fácilmente decodificado.
Esta información permitía el acceso a un servidor de e-SUS Notifica, el cual almacena información de la población que se registró en el SUS (Sistema Único de Saúde), cómo nombres completos, dirección, números de teléfono, CPF, detalles médicos, entre otros.
Las credenciales fueron eliminadas del código fuente del sitio y según afirmó el Ministerio, no hubo acceso a la información, afirmó Globo. Además, el Ministerio comunicó que los incidentes están siendo investigados.
El hallazgo surge días después de que el mismo medio revelara la exposición de datos de 16 millones de pacientes de COVID-19 en Brasil durante casi un mes, luego de que un funcionario de un hospital publicara en GitHub un documento con credenciales de acceso a una base de datos de personas que fueron testeadas, diagnosticadas e incluso internadas por la enfermedad.