Zdravo opet! Opet sam pronašao otvorenu bazu podataka sa medicinskim podacima za vas. Da vas podsjetim da su nedavno bila tri moja članka na ovu temu: , и .
Ovog puta, Elasticsearch server sa logovima iz medicinskog IT sistema laboratorijske mreže bio je javno dostupan.Centar za molekularnu dijagnostiku(CMD, www.cmd-online.ru).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Server je otkriven ujutru 1. aprila i nije mi delovao nimalo smešno. Obavijest o problemu stigla je CMD-u oko 10 sati ujutro (po moskovskom vremenu), a oko 15 sati baza podataka je postala nedostupna.
Prema Shodan pretraživaču, ovaj server je prvi put javno dostupan 09.03.2019. O tome , napisao sam poseban članak.
Iz dnevnika se mogu dobiti vrlo osjetljive informacije, uključujući Puno ime, spol, datumi rođenja pacijenata, puna imena doktora, troškovi istraživanja, podaci istraživanja, fajlovi sa rezultatima skrininga i još mnogo toga.
Primjer dnevnika s rezultatima testiranja pacijenata:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///Popunio sam sve osjetljive podatke sa "X". U stvarnosti, sve je bilo otvoreno.
Iz takvih dnevnika bilo je lako (konvertiranjem iz Base64) dobiti PNG datoteke s rezultatima pregleda, već u lako čitljivom obliku:
Ukupna veličina dnevnika je premašila 400 MB i ukupno su sadržavali više od milion unosa. Jasno je da nije svaki zapis predstavljao jedinstvene podatke o pacijentu.
Zvaničan odgovor CMD-a:
Željeli bismo vam zahvaliti što ste odmah 01.04.2019. aprila XNUMX. godine poslali informacije o prisutnosti ranjivosti u bazi podataka o greškama i skladištenju Elasticsearch.
Na osnovu ovih informacija, naši zaposleni, zajedno sa relevantnim stručnjacima, ograničili su pristup navedenoj bazi podataka. Ispravljena je greška u prijenosu povjerljivih informacija u tehničku bazu podataka.
Tokom analize incidenta, bilo je moguće utvrditi da je pojavljivanje navedene baze podataka sa evidencijama grešaka u javnom domenu uzrokovano razlogom vezan za ljudski faktor. Pristup podacima je odmah zatvoren 01.04.2019.
U ovom trenutku interni i eksterni stručnjaci poduzimaju mjere za dodatnu reviziju IT infrastrukture radi zaštite podataka.
Naša organizacija je razvila posebne propise za rad sa ličnim podacima i sistem nivoa kadrovske odgovornosti.
Trenutna softverska infrastruktura koristi bazu podataka Elasticsearch za pohranjivanje grešaka. Kako bi se poboljšala pouzdanost nekih sistema, odgovarajući serveri će biti migrirani u podatkovni centar našeg partnera, u certificirano softversko i hardversko okruženje.
Hvala vam na pravovremenim informacijama.
Vijesti o curenju informacija i insajderima uvijek možete pronaći na mom Telegram kanalu"".
izvor: www.habr.com