Fa només un parell de dies jo a Habré sobre com el servei mèdic rus en línia DOC+ va aconseguir deixar una base de dades amb registres d'accés detallats al domini públic, de la qual es podien obtenir dades de pacients i empleats del servei. I aquí hi ha un nou incident, amb un altre servei rus que ofereix als pacients consultes en línia amb metges: "Doctor Nearby" (www.drclinics.ru).
Escriuré de seguida que gràcies a l'adequació del personal de Doctor is Near, la vulnerabilitat es va eliminar ràpidament (2 hores des del moment de la notificació a la nit!) i molt probablement no hi va haver cap fuga de dades personals i mèdiques. A diferència de l'incident de DOC+, on sé del cert que almenys un fitxer json amb dades, de 3.5 GB de mida, va acabar al "món obert", i la posició oficial és així: "Una petita quantitat de dades està temporalment disponible públicament, la qual cosa no pot comportar conseqüències negatives per als empleats i usuaris del servei DOC+.".
Amb mi, com a propietari del canal de Telegram "", va contactar un subscriptor anònim i va informar d'una possible vulnerabilitat al lloc web www.drclinics.ru.
L'essència de la vulnerabilitat era que, coneixent l'URL i estant al sistema amb el vostre compte, podríeu veure les dades d'altres pacients.
Per registrar un compte nou al sistema Doctor Nearby, en realitat només necessiteu un número de telèfon mòbil al qual s'enviï un SMS de confirmació, de manera que ningú podria tenir problemes per iniciar sessió al seu compte personal.
Després que l'usuari iniciés sessió al seu compte personal, podia veure immediatament, canviant l'URL a la barra d'adreces del seu navegador, informes que contenien dades personals dels pacients i fins i tot diagnòstics mèdics.
Un problema important va ser que el servei utilitza la numeració contínua dels informes i ja forma una URL a partir d'aquests números:
https://[адрес сайта]/…/…/40261/…
Per tant, n'hi havia prou amb establir el nombre mínim permès (7911) i el màxim (42926 - en el moment de la vulnerabilitat) per calcular el nombre total (35015) d'informes al sistema i fins i tot (si hi havia una intenció maliciosa) descàrrega. tots amb un guió senzill.
Entre les dades disponibles per a la seva visualització hi havia: nom complet del metge i del pacient, dates de naixement del metge i del pacient, telèfons del metge i del pacient, sexe del metge i del pacient, adreces de correu electrònic del metge i del pacient, especialitat del metge. , data de consulta, cost de consulta i en alguns casos fins i tot diagnòstic (com a comentari a l'informe).
Aquesta vulnerabilitat és essencialment molt semblant a la que hi havia al servidor de l'organització de microfinances "Zaimograd". Aleshores, mitjançant la cerca, es va poder obtenir 36763 contractes que contenien les dades completes del passaport dels clients de l'organització.
Com vaig indicar des del principi, els empleats de Doctor Nearby van mostrar una autèntica professionalitat i, malgrat que els vaig informar de la vulnerabilitat a les 23:00 (hora de Moscou), l'accés al meu compte personal es va tancar immediatament a tothom, i a l'1: 00 (hora de Moscou) aquesta vulnerabilitat s'ha corregit.
No puc evitar patear una vegada més el departament de relacions públiques del mateix DOC+ (New Medicine LLC). Declarant "Una petita quantitat de dades es va fer pública temporalment“, perden de vista que tenim dades de “control objectiu” a la nostra disposició, és a dir, el cercador Shodan. Com s'indica correctament als comentaris d'aquest article, segons Shodan, la data de la primera fixació del servidor ClickHouse obert a l'adreça IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data de l'última fixació: 52/ 00/40 XNUMX:XNUMX:XNUMX. La mida de la base de dades és d'uns XNUMX GB.
Hi va haver 15 fixacions en total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00De la declaració es desprèn que temporalment és una mica més d'un mes, però petita quantitat de dades això són aproximadament 40 gigabytes. Bé, no ho sé…
Però tornem a "The Doctor Is Nearby".
En aquests moments, la meva paranoia professional només està perseguida per un problema menor: per la resposta del servidor podeu esbrinar el nombre d'informes del sistema. Quan intenteu obtenir un informe d'un URL que no és accessible (però l'informe en si està disponible), el servidor torna ACCÉS DENEGAT, i quan intenteu obtenir un informe que no existeix, torna NO TROBAT. Mitjançant el seguiment de l'augment del nombre d'informes del sistema al llarg del temps (un cop a la setmana, al mes, etc.), es pot avaluar la càrrega de treball del servei i el volum de serveis prestats. Això, per descomptat, no viola les dades personals de pacients i metges, però pot ser una violació dels secrets comercials de l'empresa.
Font: www.habr.com