مرحبا مجددا! لقد وجدت مرة أخرى قاعدة بيانات مفتوحة تحتوي على بيانات طبية لك. اسمحوا لي أن أذكركم أنه في الآونة الأخيرة كانت هناك ثلاث مقالات لي حول هذا الموضوع: , и .
هذه المرة، كان خادم Elasticsearch الذي يحتوي على سجلات من نظام تكنولوجيا المعلومات الطبي لشبكة المختبرات متاحًا للجمهور.مركز التشخيص الجزيئي"(CMD، www.cmd-online.ru).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
تم اكتشاف الخادم في صباح الأول من أبريل ولم يبدو الأمر مضحكًا بالنسبة لي على الإطلاق. تم إرسال إشعار حول المشكلة إلى CMD في حوالي الساعة 1 صباحًا (بتوقيت موسكو) وفي حوالي الساعة 10:15 أصبحت قاعدة البيانات غير قابلة للوصول.
وفقًا لمحرك بحث Shodan، تم إتاحة هذا الخادم للجمهور لأول مرة بتاريخ 09.03.2019/XNUMX/XNUMX. عن ذلك ، كتبت مقالا منفصلا.
ويمكن الحصول على معلومات حساسة للغاية من السجلات، بما في ذلك الاسم الكامل، الجنس، تواريخ ميلاد المرضى، الأسماء الكاملة للأطباء، تكلفة البحث، بيانات البحث، الملفات مع نتائج الفحص وأكثر من ذلك بكثير.
مثال لسجل يتضمن نتائج اختبار المريض:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///لقد ملأت جميع البيانات الحساسة بعلامة "X". في الواقع، بقي كل شيء مفتوحا.
من هذه السجلات كان من السهل (عن طريق التحويل من Base64) الحصول على ملفات PNG مع نتائج الفحص، بالفعل في نموذج سهل القراءة:
تجاوز الحجم الإجمالي للسجلات 400 ميجابايت، وتحتوي في مجملها على أكثر من مليون إدخال. من الواضح أنه ليس كل سجل يمثل بيانات فريدة للمريض.
الرد الرسمي من CMD:
نود أن نشكرك على إرسال المعلومات على الفور في 01.04.2019 أبريل XNUMX حول وجود ثغرة أمنية في قاعدة بيانات تسجيل الأخطاء وتخزينها في Elasticsearch.
وبناءً على هذه المعلومات، قام موظفونا، جنبًا إلى جنب مع المتخصصين ذوي الصلة، بتقييد الوصول إلى قاعدة البيانات المحددة. تم إصلاح الخطأ في نقل المعلومات السرية إلى قاعدة البيانات الفنية.
ومن خلال تحليل الحادثة، كان من الممكن معرفة أن ظهور قاعدة البيانات المحددة مع سجلات الأخطاء في المجال العام كان بسبب سبب يتعلق بالعامل البشري. تم إغلاق الوصول إلى البيانات على الفور بتاريخ 01.04.2019/XNUMX/XNUMX.
في الوقت الحالي، يتخذ المتخصصون الداخليون والخارجيون إجراءات لإجراء تدقيق إضافي للبنية التحتية لتكنولوجيا المعلومات لحماية البيانات.
قامت منظمتنا بتطوير لوائح خاصة للعمل مع البيانات الشخصية ونظام لمستوى مسؤولية الموظفين.
تستخدم البنية التحتية الحالية للبرامج قاعدة بيانات Elasticsearch لتخزين الأخطاء. لتحسين موثوقية بعض الأنظمة، سيتم ترحيل الخوادم المقابلة إلى مركز بيانات شريكنا، إلى بيئة برامج وأجهزة معتمدة.
شكرا لك على المعلومات المقدمة في الوقت المناسب.
أخبار حول تسرب المعلومات والمطلعين يمكن العثور عليها دائمًا على قناتي على Telegram "".
المصدر: www.habr.com