Hola de nou! He tornat a trobar una base de dades oberta amb dades mèdiques per a tu. Permeteu-me que us recordi que fa molt poc temps hi havia tres dels meus articles sobre aquest tema: , и .
Aquesta vegada, el servidor Elasticsearch amb registres del sistema informàtic mèdic de la xarxa del laboratori estava disponible públicament.Centre de Diagnòstic Molecular"(CMD, www.cmd-online.ru).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
El servidor es va descobrir el matí de l'1 d'abril i no em va semblar gens divertit. Una notificació sobre el problema va anar a CMD aproximadament a les 10 del matí (hora de Moscou) i cap a les 15:00 la base de dades es va tornar inaccessible.
Segons el motor de cerca Shodan, aquest servidor es va posar a disposició pública per primera vegada el 09.03.2019/XNUMX/XNUMX. Sobre això , vaig escriure un article a part.
Es podria obtenir informació molt sensible dels registres, inclòs Nom complet, sexe, dates de naixement dels pacients, noms complets dels metges, cost de la investigació, dades de recerca, fitxers amb resultats de cribratge i molt més.
Exemple de registre amb resultats de la prova del pacient:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///He emplenat totes les dades sensibles amb una "X". En realitat, tot es va mantenir obert.
A partir d'aquests registres, era fàcil (en convertir des de Base64) obtenir fitxers PNG amb resultats de cribratge, ja en una forma fàcil de llegir:
La mida total dels registres superava els 400 MB i en total contenien més d'un milió d'entrades. Està clar que no tots els registres representaven dades úniques del pacient.
Resposta oficial de CMD:
Volem agrair-vos la transmissió ràpida d'informació l'01.04.2019 d'abril de XNUMX sobre la presència d'una vulnerabilitat a la base de dades d'emmagatzematge i registre d'errors d'Elasticsearch.
A partir d'aquesta informació, els nostres empleats, juntament amb especialistes rellevants, van limitar l'accés a la base de dades especificada. S'ha corregit l'error en la transferència d'informació confidencial a la base de dades tècnica.
Durant l'anàlisi de l'incident, s'ha pogut esbrinar que l'aparició de la base de dades especificada amb registres d'errors de domini públic es va deure a un motiu relacionat amb el factor humà. L'accés a les dades es va tancar immediatament el 01.04.2019/XNUMX/XNUMX.
En aquests moments, especialistes interns i externs estan prenent mesures per auditar addicionalment la infraestructura informàtica per a la protecció de dades.
La nostra organització ha desenvolupat una normativa especial per al treball amb dades personals i un sistema de nivell de responsabilitat del personal.
La infraestructura de programari actual utilitza una base de dades Elasticsearch per emmagatzemar errors. Per millorar la fiabilitat d'alguns sistemes, els servidors corresponents es migraran al centre de dades del nostre soci, a un entorn de programari i maquinari certificat.
Gràcies per la informació oportuna proporcionada.
Les notícies sobre filtracions d'informació i persones privilegiades sempre es poden trobar al meu canal de Telegram "».
Font: www.habr.com