Само преди няколко дни аз
Веднага ще напиша, че благодарение на адекватността на персонала на Doctor is Near, уязвимостта беше бързо (2 часа от момента на известяване през нощта!) Елиминирана и най-вероятно не е имало изтичане на лични и медицински данни. За разлика от инцидента с DOC+, където със сигурност знам, че поне един json файл с данни с размер 3.5 GB е попаднал в „отворения свят“, а официалната позиция изглежда така: „Малко количество данни временно стана публично достъпно, което не може да доведе до негативни последици за служителите и потребителите на услугата DOC+.".
С мен, като собственик на канала Telegram "
Същността на уязвимостта беше, че като знаете URL адреса и сте в системата под вашия акаунт, можете да видите данните на други пациенти.
За да регистрирате нов акаунт в системата Doctor Nearby, всъщност ви е необходим само номер на мобилен телефон, на който се изпраща SMS за потвърждение, така че никой да не може да има проблеми с влизането в личния си акаунт.
След като потребителят влезе в личния си акаунт, той може незабавно, като промени URL адреса в адресната лента на своя браузър, да види доклади, съдържащи лични данни на пациенти и дори медицински диагнози.
Съществен проблем беше, че услугата използва непрекъснато номериране на отчети и вече формира URL от тези числа:
https://[адрес сайта]/…/…/40261/…
Следователно беше достатъчно да зададете минималния разрешен брой (7911) и максималния (42926 - към момента на уязвимостта), за да изчислите общия брой (35015) доклади в системата и дори (ако е имало злонамерено) изтегляне всички те с прост скрипт.
Сред данните, достъпни за преглед, бяха: трите имена на лекаря и пациента, датите на раждане на лекаря и пациента, телефонните номера на лекаря и пациента, пола на лекаря и пациента, имейл адресите на лекаря и пациента, специализацията на лекаря , дата на консултация, цена на консултацията и в някои случаи дори диагноза (като коментар към доклада).
Тази уязвимост по същество е много подобна на тази, която беше
Както посочих от самото начало, служителите на Doctor Nearby показаха истински професионализъм и въпреки факта, че ги информирах за уязвимостта в 23:00 (московско време), достъпът до личния ми акаунт беше незабавно затворен за всички и до 1: 00 (московско време) тази уязвимост е коригирана.
Не мога да не ритна още веднъж PR отдела на същия DOC+ (New Medicine LLC). Деклариране "Малко количество данни временно беше направено публично достояние“, те губят от поглед факта, че разполагаме с данни за „обективен контрол“, а именно търсачката Shodan. Както правилно е отбелязано в коментарите към тази статия - според Shodan, датата на първото фиксиране на отворения сървър ClickHouse на DOC+ IP адреса: 15.02.2019/03/08 00:17.03.2019:09, датата на последното фиксиране: 52/ 00/40 XNUMX:XNUMX:XNUMX. Размерът на базата данни е около XNUMX GB.
Имаше общо 15 фиксации:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
От изявлението става ясно, че временно това е малко повече от месец, но малко количество данни това е приблизително 40 гигабайта. Еми незнам…
Но да се върнем към „Докторът е наблизо“.
В момента професионалната ми параноя е преследвана само от един останал малък проблем - по отговора на сървъра можете да разберете броя на докладите в системата. Когато се опитате да получите отчет от URL адрес, който не е достъпен (но самият отчет е наличен), сървърът връща ОТКАЗАН ДОСТЪПи когато се опитате да получите отчет, който не съществува, той се връща NOT_FOUND. Наблюдавайки нарастването на броя на отчетите в системата във времето (веднъж седмично, месечно и т.н.), можете да оцените натовареността на услугата и обема на предоставените услуги. Това, разбира се, не нарушава личните данни на пациентите и лекарите, но може да е нарушение на търговските тайни на компанията.
Източник: www.habr.com