Согласно информации издания Estadao, в открытом доступе на GitHub была несколько дней размещена электронная таблица с именами пользователей, паролями и ключами доступа к информационным системам Министерства здравоохранения Бразилии. С помощью этих учетных данных, например, можно было скачать две базы данных с информацией о миллионах бразильских пациентов, включая их имена, адреса проживания, истории болезни и режимы приема лекарств.
В конце ноября 2020 года пользователь GitHub обнаружил на личной странице сотрудника больницы имени Альберта Эйнштейна в городе Сан-Паулу опубликованную в открытом доступе данную электронную таблицу.
После обнаружения этой находки пользователь проинформировал журналистов Estadao. В издании с помощью экспертов проанализировали данные и уведомили администрацию больницы и Министерство здравоохранения Бразилии об утечке. После этого таблица была оперативно удалена с GitHub, а логины и пароли, фигурировавшие в ней, были сброшены и изменены. Пример использования учетных данных из этой таблицы на GitHub.
Оказалось, что разместивший таблицу сотрудник, загрузил ее на платформу GitHub в тестовых целях во время работы над проектом компьютерного моделирования для Министерства здравоохранения, а потом просто забыл удалить ее. Причем это размещение таблицы было им сделано еще в конце октября.
Министерство здравоохранения Бразилии пообещало провести тщательное расследование утечки. Представители администрации больницы заявили, что этот инцидент, по всей видимости, произошел из-за человеческой ошибки, а не из-за конструктивного недостатка в системе защиты информационных систем или хакерской атаки.
timurc
Интересно, а что можно тестировать путем загрузки базы данных на Github? Смысл?
tester12
Кто-то сделал дамп базы, случайно скопировал в папку репозитория, а оттуда файл автоматический ушёл в гитхаб.
anonymous
Дамп базы, в которой лежат пароли. Okay.
KonkovVladimir
В БД лежат обычно ХЭШИ паролей или в Бразилии все по другому?
timurc
Спасибо за пояснение, но:
Все-таки он намеренно загрузил базу, но зачем?
Alexsey
Встречал я всякие странные опен сорс проекты, которые зачем-то в гитхабе хостят какую-то кофигурацию для деплоя и один из шагов по поднятию — сделай форк и отредактируй нужные файлы. Не удивлюсь если тут похожая ситуация.