КОЛИ ПЕРСОНАЛЬНІ ДАННІ ВЖЕ МОЖНА І НЕ ЗАЩИЩАТИ
Багато хто з вас, швидше за все, вже чули про наймасштабніший витік персональних даних у Бразилії.
❓ Що сталося?
03.12.2020 в Бразилії, де нещодавно вступив у силу «латино-американський GDPR» - LGPD, злили дані 243 мільйонів жителів країни.
Ми ще не дійшли до самого витіку, а тут уже є цікавий момент.
Згідно з останніми даними населення Бразилії близько 210 мільйонів, а в мережі виявилося на 33 мільйона більше.
Як так? Справа в тому, що під удар попали не тільки дані про живих, але і про усопших.
Користуючись випадком, згадуємо, що згідно з Регламентом існує достатньо обмежене число випадки, коли дані усопших будуть вважатися персональними даними.
❗️ Вернемся до витіку
Інцидент стався в Міністерстві охорони здоров'я Бразилії.
Виявили його ребята з "Open Knowledge Brasil", які після публікації свого матеріалу в червні 2020 року перевірили сайти на наявність помилок, описаних в їх публікації.
Як ні дивно, але щоб отримати доступ до такої обширної БД, не прийшлось нічого «хакати».
Журналісти просто нажали F12 на клавіатурі і відкрили "вихідний код" сайту.
Після натискання клавіш можна було знайти логін і пароль, які зберігалися в Base64 (формат кодування, який можна досить легко розшифрувати за допомогою, наприклад, статей у Вікіпедії).
Дані, отримані з вихідного коду, використовувалися для входу в SUS (Sistema Único de Saúde) - офіційну базу даних Міністерства охорони здоров'я.
Там і знайшли інформацію про всіх бразильців, які зареєстровані в державній системі охорони здоров'я, створеної в 1989 році.
За тиждень до інциденту аналогічну диру знайшли у вихідному коді e-SUS-Notifica - веб-портала, на якій громадяни Бразилії можуть зареєструватися та отримувати офіційні державні повідомлення про пандемію COVID-19.
ВИСНОВКИ
Що можна почерпнути з усієї цієї ситуації?
- Наявність навіть самого модного і прогресивного закону у сфері захисту персональних даних само по себе не гарантує їх збереження.
- Важно слідкувати за інцидентами, які проходять у сфері/країні/світі, а також регулярно перевіряти свої системи, щоб не наступити на чужі граблі.
- Регуляторам обов’язково потрібно проводити просвітницьку роботу, щоб мінімізувати ймовірність різного роду інцидентів.
☀️ Бережіть свої дані, не наступайте на чужі граблі.
Підготовлено PrivacyHUB