منذ بضعة أيام فقط أنا على حبري حول كيفية تمكن الخدمة الطبية الروسية عبر الإنترنت DOC+ من ترك قاعدة بيانات تحتوي على سجلات وصول مفصلة في المجال العام، والتي يمكن من خلالها الحصول على بيانات المرضى وموظفي الخدمة. وهنا حادثة جديدة، مع خدمة روسية أخرى توفر للمرضى استشارات عبر الإنترنت مع الأطباء - "دكتور قريب" (www.drclinics.ru).
سأكتب على الفور أنه بفضل كفاية فريق عمل Doctor is Near، تم القضاء على الثغرة الأمنية بسرعة (ساعتان من لحظة الإخطار ليلاً!) وعلى الأرجح لم يكن هناك أي تسرب للبيانات الشخصية والطبية. على عكس حادثة DOC+، حيث أعرف على وجه اليقين أن ملف json واحدًا على الأقل يحتوي على بيانات، بحجم 2 جيجابايت، انتهى به الأمر في "العالم المفتوح"، ويبدو الموقف الرسمي كما يلي: "لقد أصبحت كمية صغيرة من البيانات متاحة للعامة بشكل مؤقت، وهو ما لا يمكن أن يؤدي إلى عواقب سلبية على الموظفين ومستخدمي خدمة DOC+.".
معي بصفتي مالك قناة التليجرام ""، اتصل مشترك مجهول وأبلغ عن ثغرة أمنية محتملة على موقع الويب www.drclinics.ru.
كان جوهر الثغرة الأمنية هو أنه من خلال معرفة عنوان URL والتواجد في النظام ضمن حسابك، يمكنك عرض بيانات المرضى الآخرين.
لتسجيل حساب جديد في نظام Doctor Nearby، تحتاج في الواقع فقط إلى رقم هاتف محمول يتم إرسال رسالة تأكيد نصية إليه، لذلك لا يمكن أن يواجه أي شخص أي مشاكل في تسجيل الدخول إلى حسابه الشخصي.
بعد تسجيل دخول المستخدم إلى حسابه الشخصي، يمكنه فورًا، عن طريق تغيير عنوان URL في شريط العناوين بمتصفحه، عرض التقارير التي تحتوي على البيانات الشخصية للمرضى وحتى التشخيصات الطبية.
كانت المشكلة الكبيرة هي أن الخدمة تستخدم الترقيم المستمر للتقارير وتشكل بالفعل عنوان URL من هذه الأرقام:
https://[адрес сайта]/…/…/40261/…
لذلك كان يكفي تحديد الحد الأدنى المسموح به (7911) والحد الأقصى (42926 - وقت حدوث الثغرة) لحساب إجمالي عدد (35015) من التقارير في النظام وحتى (في حالة وجود نية خبيثة) تنزيلها كل منهم مع نص بسيط.
ومن بين البيانات المتاحة للعرض: الاسم الكامل للطبيب والمريض، تاريخ ميلاد الطبيب والمريض، أرقام هواتف الطبيب والمريض، جنس الطبيب والمريض، عناوين البريد الإلكتروني للطبيب والمريض، تخصص الطبيب وتاريخ الاستشارة وتكلفة الاستشارة وفي بعض الحالات حتى التشخيص (كتعليق على التقرير).
هذه الثغرة الأمنية تشبه إلى حد كبير تلك التي كانت على خادم منظمة التمويل الأصغر "Zaimograd". ثم، ومن خلال البحث، أمكن الحصول على 36763 عقدًا تحتوي على بيانات جوازات السفر الكاملة لعملاء المنظمة.
كما أشرت منذ البداية، أظهر موظفو Doctor Nearby احترافية حقيقية وعلى الرغم من أنني أبلغتهم بالثغرة الأمنية في الساعة 23:00 (بتوقيت موسكو)، تم إغلاق الوصول إلى حسابي الشخصي على الفور أمام الجميع، وبحلول الساعة 1: 00 (بتوقيت موسكو) تم إصلاح هذه الثغرة الأمنية.
لا يسعني إلا أن أركل مرة أخرى قسم العلاقات العامة في نفس DOC+ (New Medicine LLC). معلناً "تم إتاحة كمية صغيرة من البيانات للجمهور بشكل مؤقت"، إنهم يغفلون حقيقة أن لدينا بيانات "التحكم الموضوعي" تحت تصرفنا، وهي محرك بحث شودان. كما هو مذكور بشكل صحيح في التعليقات على تلك المقالة - وفقًا لشودان، تاريخ التثبيت الأول لخادم ClickHouse المفتوح على عنوان DOC+ IP: 15.02.2019/03/08 00:17.03.2019:09، تاريخ التثبيت الأخير: 52/ 00/40 XNUMX:XNUMX:XNUMX. حجم قاعدة البيانات حوالي XNUMX جيجا بايت.
كان هناك 15 تثبيتًا في المجموع:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00ويظهر من البيان ذلك مؤقتا انها ما يزيد قليلا عن شهر، ولكن كمية صغيرة من البيانات هذا هو حوالي 40 غيغابايت. حسنا انا لا اعرف…
ولكن دعونا نعود إلى "الطبيب قريب".
في الوقت الحالي، يطاردني جنون العظمة المهني بمشكلة بسيطة واحدة فقط - من خلال استجابة الخادم، يمكنك معرفة عدد التقارير في النظام. عندما تحاول الحصول على تقرير من عنوان URL لا يمكن الوصول إليه (ولكن التقرير نفسه متاح)، يعود الخادم تم الرفض، وعندما تحاول الحصول على تقرير غير موجود، فإنه يعود غير موجود. من خلال مراقبة الزيادة في عدد التقارير في النظام مع مرور الوقت (مرة واحدة في الأسبوع، الشهر، وما إلى ذلك)، يمكنك تقييم عبء عمل الخدمة وحجم الخدمات المقدمة. وهذا بالطبع لا ينتهك البيانات الشخصية للمرضى والأطباء، ولكنه قد يكون انتهاكًا للأسرار التجارية للشركة.
المصدر: www.habr.com