Net 'n paar dae gelede het ek op Habré oor hoe die Russiese aanlyn mediese diens DOC+ daarin geslaag het om 'n databasis met gedetailleerde toegangslogboeke in die publieke domein te verlaat, waaruit data van pasiënte en dienswerknemers verkry kon word. En hier is 'n nuwe voorval, met nog 'n Russiese diens wat pasiënte van aanlyn konsultasies met dokters voorsien - "Doctor Nearby" (www.drclinics.ru).
Ek sal dadelik skryf dat te danke aan die toereikendheid van die Doctor is Near-personeel, die kwesbaarheid vinnig (2 uur vanaf die oomblik van kennisgewing in die nag!) uitgeskakel is en heel waarskynlik was daar geen lek van persoonlike en mediese data nie. Anders as die DOC+-voorval, waar ek verseker weet dat ten minste een json-lêer met data, 3.5 GB groot, in die “oop wêreld” beland het, en die amptelike posisie lyk soos volg: “’n Klein hoeveelheid data het tydelik publiek beskikbaar geword, wat nie tot negatiewe gevolge vir werknemers en gebruikers van die DOC+-diens kan lei nie.«.
Saam met my, as die eienaar van die Telegram-kanaal "", het 'n anonieme intekenaar gekontak en 'n moontlike kwesbaarheid op die webwerf www.drclinics.ru aangemeld.
Die kern van die kwesbaarheid was dat, deur die URL te ken en in die stelsel onder jou rekening te wees, jy die data van ander pasiënte kon sien.
Om 'n nuwe rekening in die Doctor Nearby-stelsel te registreer, benodig jy eintlik net 'n selfoonnommer waarheen 'n bevestigings-SMS gestuur word, sodat niemand enige probleme kan hê om by hul persoonlike rekening aan te meld nie.
Nadat die gebruiker by sy persoonlike rekening aangemeld het, kon hy onmiddellik, deur die URL in die adresbalk van sy blaaier te verander, verslae bekyk wat persoonlike data van pasiënte en selfs mediese diagnoses bevat.
'n Beduidende probleem was dat die diens deurlopende nommering van verslae gebruik en reeds 'n URL uit hierdie nommers vorm:
https://[адрес сайта]/…/…/40261/…
Daarom was dit genoeg om die minimum toegelate getal (7911) en die maksimum (42926 - ten tyde van die kwesbaarheid) te stel om die totale aantal (35015) verslae in die stelsel te bereken en selfs (as daar kwaadwillige bedoelings was) af te laai hulle almal met 'n eenvoudige skrif.
Van die data beskikbaar vir besigtiging was: volle naam van die dokter en pasiënt, geboortedatums van die dokter en pasiënt, telefoonnommers van die dokter en pasiënt, geslag van die dokter en pasiënt, e-posadresse van die dokter en pasiënt, dokter se spesialisasie , datum van konsultasie, koste van konsultasie en in sommige gevalle selfs diagnose (as kommentaar op die verslag).
Hierdie kwesbaarheid is in wese baie soortgelyk aan die een wat was op die bediener van die mikrofinansieringsorganisasie "Zaimograd". Toe, deur te soek, was dit moontlik om 36763 XNUMX kontrakte te bekom wat die volledige paspoortdata van die organisasie se kliënte bevat.
Soos ek van die begin af aangedui het, het die Dokter Nearby-werknemers werklike professionaliteit getoon en ondanks die feit dat ek hulle om 23:00 (Moskou-tyd) oor die kwesbaarheid ingelig het, was toegang tot my persoonlike rekening onmiddellik vir almal gesluit, en teen 1: 00 (Moskou-tyd) is hierdie kwesbaarheid reggestel.
Ek kan nie anders as om weer die PR-afdeling van dieselfde DOC+ (New Medicine LLC) te skop nie. Verklaar"'n Klein hoeveelheid data is tydelik publiek beskikbaar gestel“, verloor hulle die feit dat ons “objektiewe beheer”-data tot ons beskikking het, naamlik die Shodan-soekenjin. Soos korrek opgemerk in die kommentaar by daardie artikel - volgens Shodan, die datum van die eerste fiksasie van die oop ClickHouse-bediener op die DOC+ IP-adres: 15.02.2019/03/08 00:17.03.2019:09, datum van die laaste fiksasie: 52/ 00/40 XNUMX:XNUMX:XNUMX. Die databasisgrootte is ongeveer XNUMX GB.
Daar was altesaam 15 fiksasies:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Uit die verklaring blyk dit dat tydelik dit is 'n bietjie meer as 'n maand, maar klein hoeveelheid data dit is ongeveer 40 gigagrepe. Wel, ek weet nie…
Maar kom ons keer terug na "Die dokter is naby."
Op die oomblik word my professionele paranoia geteister deur slegs een oorblywende klein probleem - deur die bediener se reaksie kan jy die aantal verslae in die stelsel uitvind. Wanneer jy probeer om 'n verslag te kry vanaf 'n URL wat nie toeganklik is nie (maar die verslag self is beskikbaar), keer die bediener terug TOEGANG VERBIED, en wanneer jy probeer om 'n verslag te kry wat nie bestaan nie, keer dit terug NIE GEVIND NIE. Deur die toename in die aantal verslae in die stelsel oor tyd (een keer per week, maand, ens.) te monitor, kan jy die werkslading van die diens en die volume dienste wat gelewer word, assesseer. Dit skend natuurlik nie die persoonlike data van pasiënte en dokters nie, maar dit kan 'n skending van die maatskappy se handelsgeheime wees.
Bron: will.com