Само преди няколко дни аз на Хабре за това как руската онлайн медицинска услуга DOC+ успя да остави в публичното пространство база данни с подробни регистрационни файлове за достъп, от които могат да бъдат получени данни на пациенти и служители на услугата. И ето нов инцидент с друга руска услуга, която предоставя на пациентите онлайн консултации с лекари - „Доктор наблизо“ (www.drclinics.ru).
Веднага ще напиша, че благодарение на адекватността на персонала на Doctor is Near, уязвимостта беше бързо (2 часа от момента на известяване през нощта!) Елиминирана и най-вероятно не е имало изтичане на лични и медицински данни. За разлика от инцидента с DOC+, където със сигурност знам, че поне един json файл с данни с размер 3.5 GB е попаднал в „отворения свят“, а официалната позиция изглежда така: „Малко количество данни временно стана публично достъпно, което не може да доведе до негативни последици за служителите и потребителите на услугата DOC+.".
С мен, като собственик на канала Telegram "“, анонимен абонат се свърза и съобщи за потенциална уязвимост на уебсайта www.drclinics.ru.
Същността на уязвимостта беше, че като знаете URL адреса и сте в системата под вашия акаунт, можете да видите данните на други пациенти.
За да регистрирате нов акаунт в системата Doctor Nearby, всъщност ви е необходим само номер на мобилен телефон, на който се изпраща SMS за потвърждение, така че никой да не може да има проблеми с влизането в личния си акаунт.
След като потребителят влезе в личния си акаунт, той може незабавно, като промени URL адреса в адресната лента на своя браузър, да види доклади, съдържащи лични данни на пациенти и дори медицински диагнози.
Съществен проблем беше, че услугата използва непрекъснато номериране на отчети и вече формира URL от тези числа:
https://[адрес сайта]/…/…/40261/…
Следователно беше достатъчно да зададете минималния разрешен брой (7911) и максималния (42926 - към момента на уязвимостта), за да изчислите общия брой (35015) доклади в системата и дори (ако е имало злонамерено) изтегляне всички те с прост скрипт.
Сред данните, достъпни за преглед, бяха: трите имена на лекаря и пациента, датите на раждане на лекаря и пациента, телефонните номера на лекаря и пациента, пола на лекаря и пациента, имейл адресите на лекаря и пациента, специализацията на лекаря , дата на консултация, цена на консултацията и в някои случаи дори диагноза (като коментар към доклада).
Тази уязвимост по същество е много подобна на тази, която беше на сървъра на микрофинансиращата организация „Займоград“. След това чрез търсене беше възможно да се получат 36763 XNUMX договора, съдържащи пълните паспортни данни на клиентите на организацията.
Както посочих от самото начало, служителите на Doctor Nearby показаха истински професионализъм и въпреки факта, че ги информирах за уязвимостта в 23:00 (московско време), достъпът до личния ми акаунт беше незабавно затворен за всички и до 1: 00 (московско време) тази уязвимост е коригирана.
Не мога да не ритна още веднъж PR отдела на същия DOC+ (New Medicine LLC). Деклариране "Малко количество данни временно беше направено публично достояние“, те губят от поглед факта, че разполагаме с данни за „обективен контрол“, а именно търсачката Shodan. Както правилно е отбелязано в коментарите към тази статия - според Shodan, датата на първото фиксиране на отворения сървър ClickHouse на DOC+ IP адреса: 15.02.2019/03/08 00:17.03.2019:09, датата на последното фиксиране: 52/ 00/40 XNUMX:XNUMX:XNUMX. Размерът на базата данни е около XNUMX GB.
Имаше общо 15 фиксации:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00От изявлението става ясно, че временно това е малко повече от месец, но малко количество данни това е приблизително 40 гигабайта. Еми незнам…
Но да се върнем към „Докторът е наблизо“.
В момента професионалната ми параноя е преследвана само от един останал малък проблем - по отговора на сървъра можете да разберете броя на докладите в системата. Когато се опитате да получите отчет от URL адрес, който не е достъпен (но самият отчет е наличен), сървърът връща ОТКАЗАН ДОСТЪПи когато се опитате да получите отчет, който не съществува, той се връща NOT_FOUND. Наблюдавайки нарастването на броя на отчетите в системата във времето (веднъж седмично, месечно и т.н.), можете да оцените натовареността на услугата и обема на предоставените услуги. Това, разбира се, не нарушава личните данни на пациентите и лекарите, но може да е нарушение на търговските тайни на компанията.
Източник: www.habr.com