Se ha encontrado en GitHub un Excel con información personal
de más de 16 millones de pacientes de COVID-19, entre ellos se encuentra el
propio presidente del gobierno brasileño y varios miembros del gobierno. En el
Excel se encuentra exclusivamente información de pacientes del COVID-19 brasileños,
entre estos datos se encuentran nombres de usuarios, contraseñas y claves de
acceso gubernamentales.
Un usuario de GitHub fue el que descubrió el archivo Excel y
lo envío al periódico brasileño Estado, el cual analizo los datos incluidos en
el Excel y posteriormente informo tanto al Ministerio de Salud brasileño como
al hospital de esta filtración masiva.
Una vez se confirmo la veracidad del archivo este fue
eliminado de GitHub para evitar una propagación mayor del mismo y preservar la
identidad de los pacientes que aparecen en el documento. Los datos encontrados
de los miembros del gobierno brasileño han sido tanto confidenciales como
credenciales de seguridad, hecho al que se han visto expuesto el propio
presidente Jair Bolsonaro y 17 gobernadores civiles del país.
Las dos bases de datos principales donde se guardaba
información de los pacientes contagiados por COVID-19 son E-SUS-VE y Sivep-Gripe,
ambas utilizadas por el propio gobierno brasileño. En estas dos bases de datos
se encuentra todo tipo de información relevante de los pacientes para realizar
un seguimiento y control de los casos.
Además de toda la información confidencial que se ha visto
expuesta, también han sido expuestos datos de historial médico, medicamento y
direcciones de los pacientes. Un gran problema de seguridad teniendo en cuenta
que este archivo ha estado al alcance de cualquier usuario de GitHub. En estos
momentos están investigando como pudo llegar el Excel a ser subido a un lugar publico
como GitHub y cual fu el motivo detrás de ello.
Tras conocerse la exposición de las credenciales de
seguridad de los miembros del gobierno, estos cambiaron sus credenciales rápidamente
para mantener sus accesos seguros y a salvo de terceros. Por el momento, se desconoce
si ha habido acciones que vulnerasen la seguridad de los miembros del gobierno.