• 發布單位:TWCERT/CC
• 更新日期:2020-12-11
• 點閱次數:2626

媒體發現巴西衛生部官方網站，將一個重要政府資料庫的登入資訊寫在網站程式碼中，導致超過 2 億 4300 萬名巴西民眾的個資對外曝光。

巴西一家名為 Estadao 的報社，日前發現巴西衛生部官方網站直接將一個重要政府資料庫的登入資訊，以極易破解的編碼方式寫在網站程式碼中；導致超過 2 億 4300 萬名巴西民眾的個資對外曝光超過半年以上。

Estadao 記者是在讀到一篇由巴西的非政府組織「巴西開放知識」（Open Knowledge Brasil, OKBR）的報告後決定開啟調查，該報告指出某個巴西政府單位的官方網站，也將某個政府資料庫的登入資訊，直接寫在網站程式碼內。

Estadao 調查巴西政府所屬的各個部門官方網站，確認是否也有類似錯誤發生時，發現巴西衛生部的官網，竟然也犯了相同的錯誤，將該部門所屬巴西公民健康資料庫的登入資訊，以非常容易還原的 Base64 編碼，直接寫在網站程式碼中，導致任何人都能登入該資料庫並存取資訊。

該資料庫內含 1989 年以來總供 2 億 4300 萬名已經逝世與仍然存活巴西民眾的個人資料，資料欄位包括完整姓名、住家地址、電話號碼與個人健康與就診記錄等。

目前巴西衛生部已經將官網內的登入資訊加以移除，但無法確認這個資料庫在過去是否曾遭不當存取；要是確認資料已遭不肖人士竊取，這起事故將會是嚴重的資安事件。