据透露,在卫生部(MoH)的系统密码在网上公开发布后,数百万感染Covid-19的巴西人的个人信息被曝光。
据巴西《圣保罗报》报道,这些密码是由巴西主要私营医疗机构之一阿尔伯特·爱因斯坦医院(Albert Einstein Hospital)的一名员工在代码托管平台GitHub上发布的。该医院与卫生部合作,在公共和私营部门合作的项目上促进国家医疗保健。
此外,报告指出,公共和私营医疗系统中多达1600万患者的数据暴露,因为所有医院都必须通知疑似和确诊的Covid-19病例。没有一家机构证实了此次泄密事件所能获得的确切记录数量。
此次泄密事件暴露了包括住址在内的细节,以及公民和高级政治家的既往病史和社会保障号码,包括总统杰尔·博尔索纳罗以及至少7名其他部长、17名州州长以及国会下议院和参议院领导人。
另据报告称带有密码的电子表格保存了将近一个月。报道还说,有了这些信息,就有可能进入两个关键的联邦政府系统,记录可疑和确诊的Covid-19病例的通知,以及另一个因急性呼吸综合征入院的病例,卫生部在一份声明中说,它的信息技术部门已经“立即撤销了对[泄露的]电子表格中包含的所有登录和密码的访问”。声明还说,医院通知卫生部,已经开始对事件进行事实调查。
“医院的网络安全团队正在采取一切措施,防止可能泄漏包含登录名和密码的文件,以便通过弹性搜索访问系统信息”,报告指出。
根据声明,包含密码的文件已被删除,可能有数据被复制的网站或网络空间正在被追踪。医院还确认,事件是由其员工的人为错误而非系统故障引起的。
另据卫生部称,数据库“不易访问,由于只有登录名和密码不足以访问数据库中包含的信息,而是一组技术因素”。
消费者权益非营利机构Idec要求调查目前围绕医院和政府之间的合作伙伴关系在控制和数字安全措施方面存在的缺陷巴西检察机关。
“我们再次面临严重的安全缺陷,这些缺陷可能会对大量巴西人造成损害甚至伤害。“我们看到,即使是一个存储健康数据的政府系统,也不是安全的,从信息的性质来看,这应该是一个例子,”律师和数字权利专家巴巴拉·西芒(Bárbara Simão)说这是另一个例子,表明公共部门和私营部门都需要增加投资,保护消费者。”
在提交给检察机关的文件中,国际数据中心指出,“事件的严重性表明在存储信息的安全方面缺乏基本的注意”。突出显示的要点包括:存在一个包含登录详细信息、用户名和员工密码的表;未能执行双因素身份验证等基本安全措施;鉴于数据的敏感性和相关的暴露风险,没有采用其他严格的安全标准。
Idec同时要求联邦检察官要求描述医院和联邦政府在处理个人数据方面的合作关系的细节,此外,该研究所还强调,卫生部和阿尔伯特·爱因斯坦医院都必须采取必要措施,使平台及其政策适应与一般数据保护条例和消费者权益条例的关系,联邦政府还应制定一致有效的个人数据保护政策。
