Pre samo par dana sam na Habréu o tome kako je ruska onlajn medicinska služba DOC+ uspela da ostavi u javnom domenu bazu podataka sa detaljnim evidencijama pristupa, iz koje su se mogli dobiti podaci pacijenata i zaposlenih u službi. A evo i novog incidenta, sa još jednim ruskim servisom koji pacijentima pruža onlajn konsultacije sa lekarima - „Doktor u blizini“ (www.drclinics.ru).
Odmah ću napisati da je zahvaljujući adekvatnosti osoblja Doktor u blizini, ranjivost brzo (2 sata od trenutka obavještenja noću!) otklonjena i najvjerovatnije nije bilo curenja ličnih i medicinskih podataka. Za razliku od DOC+ incidenta, gde pouzdano znam da je barem jedan json fajl sa podacima, veličine 3.5 GB, završio u „otvorenom svetu“, a zvanični stav izgleda ovako: „Mala količina podataka je privremeno postala javno dostupna, što ne može dovesti do negativnih posljedica za zaposlene i korisnike DOC+ usluge.".
Sa mnom, kao vlasnikom Telegram kanala"“, javio se anonimni pretplatnik i prijavio potencijalnu ranjivost na web stranici www.drclinics.ru.
Suština ranjivosti bila je u tome da, znajući URL i nalazeći se u sistemu pod vašim nalogom, možete vidjeti podatke drugih pacijenata.
Da biste registrovali novi nalog u sistemu Doctor Nearby, zapravo vam je potreban samo broj mobilnog telefona na koji se šalje SMS potvrda, tako da niko ne bi imao problema sa prijavljivanjem na svoj lični nalog.
Nakon što se korisnik prijavio na svoj lični nalog, mogao je odmah, promenom URL adrese u adresnoj traci svog pretraživača, da pregleda izveštaje koji sadrže lične podatke pacijenata, pa čak i medicinske dijagnoze.
Značajan problem je bio što servis koristi kontinuirano numeriranje izvještaja i već formira URL od ovih brojeva:
https://[адрес сайта]/…/…/40261/…
Stoga je bilo dovoljno postaviti minimalni dozvoljeni broj (7911) i maksimalni (42926 - u trenutku ranjivosti) da se izračuna ukupan broj (35015) prijava u sistemu, pa čak i (ako je bilo zlonamjerne) preuzimanja sve sa jednostavnom skriptom.
Među podacima dostupnim za uvid bili su: puno ime doktora i pacijenta, datumi rođenja doktora i pacijenta, brojevi telefona doktora i pacijenta, pol doktora i pacijenta, email adrese lekara i pacijenta, specijalizacija lekara , datum konsultacije, trošak konsultacija, au nekim slučajevima čak i dijagnoza (kao komentar na izvještaj).
Ova ranjivost je u suštini vrlo slična onoj koja je bila na serveru mikrofinansijske organizacije “Zaimograd”. Tada je pretraživanjem bilo moguće dobiti 36763 ugovora koji sadrže potpune podatke o pasošu klijenata organizacije.
Kao što sam naznačio od samog početka, zaposleni u Doktoru u blizini pokazali su pravi profesionalizam i uprkos činjenici da sam ih obavestio o ranjivosti u 23:00 (moskovsko vreme), pristup mom ličnom nalogu je odmah zatvoren za sve, a do 1: 00 (moskovsko vrijeme) ova ranjivost je ispravljena.
Ne mogu a da ne udarim još jednom PR odjel istog DOC+ (New Medicine LLC). Izjava "Mala količina podataka je privremeno stavljena na raspolaganje javnosti“, gube iz vida da imamo na raspolaganju podatke “objektivne kontrole”, odnosno Shodan pretraživač. Kao što je tačno navedeno u komentarima na taj članak - prema Shodanu, datum prve fiksacije otvorenog ClickHouse servera na DOC+ IP adresu: 15.02.2019 03:08:00, datum posljednje fiksacije: 17.03.2019/ 09/52 00:40:XNUMX. Veličina baze podataka je oko XNUMX GB.
Bilo je ukupno 15 fiksacija:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Iz izjave proizilazi da privremeno to je nešto više od mesec dana, ali mala količina podataka ovo je otprilike 40 gigabajta. Pa ne znam…
No, vratimo se na “Doktor je u blizini”.
U ovom trenutku moju profesionalnu paranoju proganja samo jedan preostali manji problem - po odgovoru servera možete saznati broj prijava u sistemu. Kada pokušate da dobijete izveštaj sa URL-a koji nije dostupan (ali je sam izveštaj dostupan), server vraća PRISTUP ODBIJEN, a kada pokušate dobiti izvještaj koji ne postoji, vraća se NIJE PRONAĐENO. Praćenjem porasta broja izvještaja u sistemu tokom vremena (jednom sedmično, mjesečno itd.), možete procijeniti obim posla i obim usluga koje se pružaju. Ovo, naravno, ne krši lične podatke pacijenata i doktora, ali može biti kršenje poslovne tajne kompanije.
izvor: www.habr.com