Bir neçə gün əvvəl mən Habré-də Rusiyanın onlayn tibb xidməti DOC+-ın xəstələrin və xidmət işçilərinin məlumatlarının əldə oluna biləcəyi təfərrüatlı giriş qeydləri olan verilənlər bazasını ictimai sahədə necə tərk etməyi bacardığı haqqında. Budur, xəstələrə həkimlərlə onlayn məsləhətləşmələr verən başqa bir rus xidməti ilə yeni bir hadisə - "Yaxınlıqdakı həkim" (www.drclinics.ru).
Dərhal yazacağam ki, “Doctor is Near” personalının adekvatlığı sayəsində zəiflik tez bir zamanda aradan qaldırıldı (gecə xəbərdarlığından 2 saat sonra!) və çox güman ki, şəxsi və tibbi məlumatların sızması olmayıb. DOC+ hadisəsindən fərqli olaraq, mən dəqiq bilirəm ki, məlumatı olan ən azı bir json faylı, ölçüsü 3.5 GB "açıq dünyada" başa çatdı və rəsmi mövqe belə görünür: "Az miqdarda məlumat müvəqqəti olaraq ictimaiyyət üçün əlçatan olub ki, bu da DOC+ xidmətinin işçiləri və istifadəçiləri üçün mənfi nəticələrə səbəb ola bilməz.".
Telegram kanalının sahibi kimi mənimlə "", anonim abunəçi əlaqə saxladı və www.drclinics.ru saytında potensial zəiflik barədə məlumat verdi.
Zəifliyin mahiyyəti ondan ibarət idi ki, siz URL-i bilməklə və hesabınızın altında olan sistemdə olmaqla digər xəstələrin məlumatlarına baxa bilərsiniz.
Doctor Nearby sistemində yeni hesabı qeydiyyatdan keçirmək üçün sizə əslində yalnız təsdiq SMS-in göndərildiyi mobil telefon nömrəsi lazımdır ki, heç kimin şəxsi hesabına daxil olmaqda problemi olmasın.
İstifadəçi şəxsi kabinetinə daxil olduqdan sonra o, brauzerinin ünvan sətrindəki URL-i dəyişdirərək dərhal xəstələrin şəxsi məlumatlarını və hətta tibbi diaqnozları ehtiva edən hesabatlara baxa bilərdi.
Əhəmiyyətli problem ondan ibarət idi ki, xidmət hesabatların davamlı nömrələnməsindən istifadə edir və artıq bu nömrələrdən URL formalaşdırır:
https://[адрес сайта]/…/…/40261/…
Buna görə, sistemdəki hesabatların ümumi sayını (7911) hesablamaq və hətta (zərərli niyyət varsa) yükləmək üçün minimum icazə verilən nömrəni (42926) və maksimumu (35015 - zəiflik zamanı) təyin etmək kifayət idi. hamısı sadə bir skriptlə.
Baxmaq üçün mövcud olan məlumatlar arasında: həkimin və xəstənin tam adı, həkim və xəstənin doğum tarixi, həkim və xəstənin telefon nömrələri, həkim və xəstənin cinsi, həkim və xəstənin e-poçt ünvanları, həkimin ixtisası , məsləhətləşmə tarixi, konsultasiyanın qiyməti və bəzi hallarda hətta diaqnoz (hesabatın şərhi kimi).
Bu zəiflik əvvəlkinə çox oxşardır "Zaimograd" mikromaliyyə təşkilatının serverində. Daha sonra axtarış edərək təşkilatın müştərilərinin tam pasport məlumatlarını ehtiva edən 36763 XNUMX müqavilə əldə etmək mümkün olub.
Əvvəldən qeyd etdiyim kimi, Doctor Nearby əməkdaşları əsl peşəkarlıq nümayiş etdirdilər və onlara zəiflik barədə 23:00-da (Moskva vaxtı ilə) məlumat verməmə baxmayaraq, şəxsi hesabıma giriş dərhal hamı üçün bağlandı və 1: 00 (Moskva vaxtı) bu boşluq aradan qaldırıldı.
Eyni DOC+-ın (New Medicine MMC) PR departamentini bir daha təpikləməyə kömək edə bilmirəm. bəyan edir"Az miqdarda məlumat müvəqqəti olaraq ictimaiyyətə təqdim edildi", onlar bizim ixtiyarımızda olan "obyektiv nəzarət" məlumatlarına, yəni Shodan axtarış motoruna malik olduğumuzu unuturlar. Həmin məqaləyə verilən şərhlərdə düzgün qeyd edildiyi kimi - Şodana görə, açıq ClickHouse serverinin DOC+ IP ünvanında ilk fiksasiya tarixi: 15.02.2019 03:08:00, son fiksasiya tarixi: 17.03.2019/ 09/52 00:40:XNUMX. Verilənlər bazası ölçüsü təxminən XNUMX GB-dır.
Ümumilikdə 15 fiksasiya var idi:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Açıqlamadan belə görünür müvəqqəti olaraq bir aydan bir az coxdu amma az miqdarda məlumat bu təxminən 40 giqabaytdır. Yaxşı, bilmirəm…
Ancaq gəlin "Həkim Yaxınlıqdadır"a qayıdaq.
Hal-hazırda, mənim peşəkar paranoyam yalnız bir kiçik problemlə üzləşir - serverin cavabı ilə sistemdəki hesabatların sayını öyrənə bilərsiniz. Əlçatan olmayan URL-dən hesabat almağa çalışdığınız zaman (lakin hesabatın özü mövcuddur), server geri qayıdır GİRİŞ QADAĞANDIR, və siz mövcud olmayan hesabatı almağa çalışdığınız zaman o, geri qayıdır TAPILMADI. Zamanla sistemdə hesabatların sayının artmasına (həftədə bir dəfə, ayda və s.) nəzarət etməklə, xidmətin iş yükünü və göstərilən xidmətlərin həcmini qiymətləndirə bilərsiniz. Bu, əlbəttə ki, xəstələrin və həkimlərin şəxsi məlumatlarını pozmur, lakin bu, şirkətin ticarət sirrinin pozulması ola bilər.
Mənbə: www.habr.com