De persoonlijke gegevens van 243 miljoen Brazilianen waren tenminste zes maanden lang voor iedereen op internet toegankelijk omdat het wachtwoord waarmee op het systeem van het ministerie van Volksgezondheid kon worden ingelogd in de websitecode aanwezig was. Het is het tweede grote datalek in Brazilië in korte tijd dat ontstond door het slordig omgaan met inloggegevens. Dat meldt de Braziliaanse krant Estadão.

Het systeem in kwestie bevat de gegevens van alle Brazilianen die geregistreerd staan of stonden in het Sistema Único de Saúde, de Braziliaanse gezondheidszorg. De inloggegevens voor het systeem bleken in een deel van de websitecode aanwezig te zijn. De gebruikersnaam en wachtwoorden waren door middel van Base64 gecodeerd opgeslagen. De gecodeerde inloggegevens waren eenvoudig via de "inspect element" functie van een browser te vinden en vervolgens te decoderen. Zo kon er op het systeem worden ingelogd.

Brazilië telt 210 miljoen inwoners. Het systeem bevatte echter ook de privégegevens van overleden personen, waardoor het in totaal om 243 miljoen records. Het ging om volledige naam, adresgegevens, telefoonnummer en burgerservicenummer. De kwetsbaarheid is inmiddels verholpen en de Braziliaanse overheid heeft een onderzoek naar het datalek aangekondigd.

Vorige week werd bekend dat de privégegevens van 16 miljoen vermoedelijke en bevestigde coronapatiënten waren gelekt. Het ging om het burgerservicenummer, adresgegevens, telefoonnummer en eventuele bestaande aandoeningen, zoals diabetes, hartproblemen, kanker en hiv. In de dataset werden de gegevens van de Braziliaanse president Jair Bolsonaro en verschillende ministers aangetroffen.

Het datalek ontstond door een medewerker van een ziekenhuis die een spreadsheet met gebruikersnamen en wachtwoorden op zijn voor iedereen toegankelijke GitHub-pagina had geplaatst. Met de inloggegevens kon er toegang tot twee overheidssystemen worden verkregen met daarin de gegevens van de vermoedelijke en bevestigde coronapatiënten.