ከጥቂት ቀናት በፊት እኔ on Habré ስለ የሩሲያ የመስመር ላይ ሕክምና አገልግሎት DOC+ በሕዝብ ጎራ ውስጥ ዝርዝር የመዳረሻ ምዝግብ ማስታወሻዎችን የያዘ የመረጃ ቋቱን ለመተው የቻለው የታካሚዎች እና የአገልግሎት ሠራተኞች መረጃ እንዴት ማግኘት እንደሚቻል በተመለከተ። እና ለታካሚዎች ከዶክተሮች ጋር በመስመር ላይ ምክክር ከሚያቀርብ ሌላ የሩሲያ አገልግሎት ጋር አዲስ ክስተት አለ - "ዶክተር አቅራቢያ" (www.drclinics.ru).
ወዲያውኑ እጽፋለሁ ለዶክተሩ ብቃት ምስጋና ይግባቸውና ሰራተኞች ቅርብ ስለሆኑ ተጋላጭነቱ በፍጥነት (ከሌሊት ማስታወቂያ ከወጣበት ጊዜ ጀምሮ 2 ሰዓታት!) የተሰረዘ እና ምናልባትም የግል እና የህክምና መረጃ ፍሰት አለመኖሩን ። ከDOC+ ክስተት በተለየ፣ ቢያንስ አንድ የ json ፋይል ዳታ ያለው፣ 3.5 ጂቢ መጠን ያለው፣ በ"ክፍት አለም" ውስጥ መጠናቀቁን በእርግጠኝነት አውቃለሁ፣ እና ኦፊሴላዊው ቦታ ይህን ይመስላል።ትንሽ መጠን ያለው መረጃ ለጊዜው ለህዝብ ይፋ ሆኗል፣ ይህም በDOC+ አገልግሎት ሰራተኞች እና ተጠቃሚዎች ላይ አሉታዊ መዘዝ ሊያስከትል አይችልም።".
ከእኔ ጋር እንደ ቴሌግራም ቻናል ባለቤት"፣ አንድ ማንነቱ ያልታወቀ የደንበኝነት ተመዝጋቢ አነጋግሮ ሊጋለጥ እንደሚችል በ www.drclinics.ru ድህረ ገጽ ላይ ሪፖርት አድርጓል።
የተጋላጭነቱ ዋና ነገር ዩአርኤሉን በማወቅ እና በመለያዎ ስር ባለው ስርዓት ውስጥ መሆን የሌሎች ታካሚዎችን ውሂብ ማየት ይችላሉ።
በዶክተር አቅራቢያ ስርዓት ውስጥ አዲስ መለያ ለመመዝገብ የማረጋገጫ ኤስኤምኤስ የሚላክበት የሞባይል ስልክ ቁጥር ብቻ ያስፈልግዎታል ስለዚህ ማንም ሰው ወደ የግል መለያው ለመግባት ምንም ችግር የለበትም።
ተጠቃሚው ወደ የግል መለያው ከገባ በኋላ ወዲያውኑ በአሳሹ የአድራሻ አሞሌ ላይ ዩአርኤልን በመቀየር የታካሚዎችን እና የህክምና ምርመራዎችን ጨምሮ ሪፖርቶችን ማየት ይችላል።
ትልቁ ችግር አገልግሎቱ ቀጣይነት ያለው የሪፖርቶችን ቁጥር መጠቀሙ እና ከዚህ ቁጥሮች ዩአርኤል መስራቱ ነው።
https://[адрес сайта]/…/…/40261/…
ስለዚህ በሲስተሙ ውስጥ ያሉትን ሪፖርቶች አጠቃላይ ቁጥር (7911) ለማስላት እና (ተንኮል አዘል ዓላማ ካለ) ለማውረድ ዝቅተኛውን የተፈቀደውን ቁጥር (42926) እና ከፍተኛውን (35015 - በተጋላጭነት ጊዜ) ማዘጋጀት በቂ ነበር ። ሁሉም በቀላል ስክሪፕት።
ለእይታ ከቀረቡት መረጃዎች መካከል፡- የዶክተር እና የታካሚ ሙሉ ስም፣ የዶክተር እና የታካሚ የልደት ቀናት፣ የዶክተር እና የታካሚ ስልክ ቁጥሮች፣ የዶክተር እና የታካሚ ጾታ፣ የዶክተር እና የታካሚ ኢሜይል አድራሻዎች፣ የዶክተር ስፔሻላይዜሽን ይገኙበታል። , የምክክር ቀን, የምክክር ዋጋ እና በአንዳንድ ሁኔታዎች ምርመራ (እንደ ሪፖርቱ አስተያየት).
ይህ ተጋላጭነት በመሠረቱ ከነበረው ጋር በጣም ተመሳሳይ ነው። በማይክሮ ፋይናንስ ድርጅት "Zaimograd" አገልጋይ ላይ. ከዚያም በመፈለግ የድርጅቱን ደንበኞች ሙሉ ፓስፖርት መረጃ የያዘ 36763 ኮንትራቶችን ማግኘት ተችሏል.
ገና ከመጀመሪያው እንደገለጽኩት ዶክተር አቅራቢያ ያሉ ሰራተኞች እውነተኛ ሙያዊነትን አሳይተዋል እና ምንም እንኳን በ 23: 00 (በሞስኮ ሰዓት) ላይ ስለ ተጋላጭነት ብነግራቸውም ፣ የእኔን የግል መለያ ማግኘት ወዲያውኑ ለሁሉም ሰው ተዘግቷል እና በ 1: 00 (ሞስኮ ጊዜ) ይህ ተጋላጭነት ተስተካክሏል.
የዚያኑ የDOC+ (የኒው ሜዲካል ኤልኤልሲ) PR ዲፓርትመንትን እንደገና ከመርገጥ አልችልም። በማወጅ ላይ "ትንሽ መጠን ያለው መረጃ ለጊዜው ለህዝብ እንዲገኝ ተደርጓል"፣ በእጃችን ያለው "የተጨባጭ ቁጥጥር" መረጃ ማለትም የሾዳን መፈለጊያ ሞተር መሆናችንን ያጡታል። ለዚያ ጽሑፍ በተሰጡ አስተያየቶች ላይ በትክክል እንደተገለፀው - እንደ ሾዳን ፣ በDOC+ IP አድራሻ ላይ የተከፈተው የ ClickHouse አገልጋይ የመጀመሪያ መጠገኛ ቀን 15.02.2019/03/08 00:17.03.2019:09 ፣ የመጨረሻው ማስተካከያ ቀን: 52/ 00/40/XNUMX XNUMX:XNUMX:XNUMX የመረጃ ቋቱ መጠን XNUMX ጂቢ ገደማ ነው።
በአጠቃላይ 15 ማስተካከያዎች ነበሩ፡-
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00ከመግለጫው መረዳት ይቻላል ለጊዜው ከአንድ ወር በላይ ትንሽ ነው, ግን አነስተኛ መጠን ያለው ውሂብ ይህ በግምት 40 ጊጋባይት ነው። ደህና እኔ አላውቅም…
ግን ወደ “ሐኪሙ ቅርብ ነው” እንመለስ።
በአሁኑ ጊዜ የእኔ ፕሮፌሽናል ፓራኖያ በቀረው ትንሽ ችግር ብቻ ተጠልፏል - በአገልጋዩ ምላሽ በስርዓቱ ውስጥ ያሉትን የሪፖርቶች ብዛት ማወቅ ይችላሉ። ከዩአርኤል የማይደረስ ሪፖርት ለማግኘት ሲሞክሩ (ግን ሪፖርቱ ራሱ አለ) አገልጋዩ ይመለሳል ACCESS_DENIED, እና የሌለ ሪፖርት ለማግኘት ሲሞክሩ ይመለሳል አልተገኘም. በጊዜ ሂደት (በሳምንት አንድ ጊዜ, በወር, ወዘተ) ውስጥ የሪፖርቶች ብዛት መጨመርን በመከታተል የአገልግሎቱን የሥራ ጫና እና የአገልግሎቱን መጠን መገምገም ይችላሉ. ይህ በእርግጥ የታካሚዎችን እና የዶክተሮችን የግል መረጃ አይጥስም, ነገር ግን የኩባንያውን የንግድ ሚስጥር መጣስ ሊሆን ይችላል.
ምንጭ: hab.com