В декабре 2018 года стало известно о масштабной утечке данных жителей Бразилии. Из-за ошибки в Apache в открытом доступе оказались идентификационные номера налогоплательщиков (Cadastro de Pessoas Físicas, CPF), принадлежащие 120 млн человек или 57% населения страны.
CPF является своего рода аналогом ИНН в России. Используя этот идентификатор, бразильцы и платящие налоги резиденты могут открывать счета и брать кредиты в банках, создавать собственные компании и т. п. К CPF привязана кредитная история и информация о трудовой деятельности человека.
Как сообщили в компании InfoArmor, специализирующейся на исследованиях в области информационной безопасности, из-за некорректной настройки веб-сервера Apache, обнаруженной в марте 2018 года, любой желающий мог получить доступ к большим архивам данным, которые хранились на нем.
Кто-то переименовал файл «index.html» в «index.html_bkp», раскрыв тем самым содержимое каталога и предоставив неограниченный доступ всем, кто знает имя файла. Директория содержала архивы размером от 27 Мбайт до 82 Гбайт. В них хранились персональные данные бразильцев, включая CPF, телефоны, адреса, информация о кредитах, данные о военной службе и др.
Утечку можно было бы предотвратить, если не переименовывать основной файл «index.html» или запретить настройку файла .htaccess. Однако ни одна из этих базовых мер кибербезопасности не была выполнена.
Недостаток был устранен в апреле 2018 года. Кому принадлежал тот веб-сервер Apache, который так бездарно настраивали, неизвестно.
По мнению экспертов, данная оплошность может привести к серьезным последствиям — искажению информации — как для страны в целом, так и для граждан в отдельности. Например, злоумышленники могут выставить Бразилию инициатором кибератак на различные страны, а украденные данные населения могут быть проданы и использованы для мошеннических целей.
.jpg)
.jpg)
.jpg)