Pipila lang ka adlaw ang milabay ako on HabrΓ© mahitungod sa kon sa unsang paagi ang Russian nga online nga medikal nga serbisyo DOC + nakahimo sa pagbiya sa usa ka database uban sa detalyado nga access logs sa publiko nga domain, diin ang data sa mga pasyente ug mga empleyado sa serbisyo mahimong makuha. Ug ania ang usa ka bag-ong insidente, nga adunay lain nga serbisyo sa Russia nga naghatag mga pasyente sa online nga konsultasyon sa mga doktor - "Doctor Nearby" (www.drclinics.ru).
Isulat ko dayon nga salamat sa igo nga kawani sa Doctor is Near, ang pagkahuyang dali (2 oras gikan sa oras sa pagpahibalo sa gabii!) Giwagtang ug lagmit nga walaβy pagtulo sa personal ug medikal nga datos. Dili sama sa DOC + nga insidente, diin nahibal-an ko nga sigurado nga labing menos usa ka json file nga adunay data, 3.5 GB ang gidak-on, natapos sa "bukas nga kalibutan", ug ang opisyal nga posisyon ingon niini: "Ang gamay nga kantidad sa datos temporaryo nga magamit sa publiko, nga dili mahimong hinungdan sa negatibo nga mga sangputanan alang sa mga empleyado ug tiggamit sa serbisyo sa DOC+.".
Uban kanako, isip tag-iya sa channel sa Telegram "", usa ka anonymous nga subscriber nakontak ug nagtaho sa usa ka potensyal nga kahuyang sa website www.drclinics.ru.
Ang esensya sa pagkahuyang mao nga, nahibal-an ang URL ug naa sa sistema sa ilawom sa imong account, mahimo nimong tan-awon ang datos sa ubang mga pasyente.
Para magparehistro ug bag-ong account sa Doctor Nearby system, kinahanglan ra gyud nimo ang numero sa mobile phone kung diin ipadala ang SMS sa kumpirmasyon, para walaβy bisan kinsa nga adunay mga problema sa pag-log in sa ilang personal nga account.
Pagkahuman sa user nga naka-log in sa iyang personal nga account, mahimo dayon niya, pinaagi sa pagbag-o sa URL sa address bar sa iyang browser, tan-awon ang mga taho nga adunay personal nga datos sa mga pasyente ug bisan ang mga medikal nga diagnosis.
Usa ka mahinungdanong problema mao nga ang serbisyo naggamit sa padayon nga pag-numero sa mga taho ug nagporma na og URL gikan niini nga mga numero:
https://[Π°Π΄ΡΠ΅Ρ ΡΠ°ΠΉΡΠ°]/β¦/β¦/40261/β¦
Busa, igo na nga ibutang ang minimum nga gitugot nga numero (7911) ug ang maximum (42926 - sa panahon sa pagkahuyang) aron makalkulo ang kinatibuk-ang gidaghanon (35015) sa mga taho sa sistema ug bisan (kon adunay malisyosong katuyoan) pag-download silang tanan sa usa ka yano nga script.
Lakip sa mga datos nga magamit alang sa pagtan-aw mao ang: kompleto nga ngalan sa doktor ug pasyente, petsa sa pagkahimugso sa doktor ug pasyente, numero sa telepono sa doktor ug pasyente, gender sa doktor ug pasyente, email address sa doktor ug pasyente, espesyalista sa doktor. , petsa sa konsultasyon, gasto sa konsultasyon ug sa pipila ka mga kaso bisan ang diagnosis ( isip usa ka komento sa report).
Kini nga pagkahuyang sa esensya parehas kaayo sa usa kaniadto sa server sa microfinance nga organisasyon nga "Zaimograd". Dayon, pinaagi sa pagpangita, posible nga makakuha og 36763 ka kontrata nga adunay bug-os nga datos sa pasaporte sa mga kliyente sa organisasyon.
Sama sa akong gipakita gikan sa sinugdanan, ang mga empleyado sa Doctor Nearby nagpakita sa tinuod nga propesyonalismo ug bisan pa sa kamatuoran nga gipahibalo ko sila mahitungod sa kahuyang sa 23:00 (oras sa Moscow), ang pag-access sa akong personal nga account gisirhan dayon sa tanan, ug sa 1: 00 (oras sa Moscow) kini nga pagkahuyang naayo.
Dili nako malikayan nga sipa sa makausa pa ang departamento sa PR sa parehas nga DOC + (New Medicine LLC). Pagpahayag"Ang gamay nga kantidad sa datos temporaryo nga gihimo nga magamit sa publiko", Nawad-an sila sa panan-aw sa kamatuoran nga kami adunay "katuyoan nga pagkontrol" nga datos nga among magamit, nga mao ang Shodan search engine. Ingon sa husto nga nahibal-an sa mga komento sa kana nga artikulo - sumala ni Shodan, ang petsa sa una nga pag-ayo sa bukas nga ClickHouse server sa DOC + IP address: 15.02.2019/03/08 00:17.03.2019:09, petsa sa katapusan nga pag-ayo: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ang gidak-on sa database mga XNUMX GB.
Adunay 15 ka mga fixation sa kinatibuk-an:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Gikan sa pahayag makita nga temporaryong kini usa ka gamay nga kapin sa usa ka bulan, apan gamay nga kantidad sa datos kini gibana-bana nga 40 gigabytes. Well wala ko kabalo...
Apan mobalik kita sa "The Doctor Is Nearby."
Sa pagkakaron, ang akong propesyonal nga paranoia gisamok sa usa lamang ka nahabilin nga gamay nga problema - pinaagi sa tubag sa server mahimo nimong mahibal-an ang gidaghanon sa mga taho sa sistema. Kung gisulayan nimo nga makakuha usa ka taho gikan sa usa ka URL nga dili ma-access (apan ang taho mismo magamit), ang server mobalik ACCESS_DENIED, ug kung mosulay ka nga makakuha usa ka taho nga wala naglungtad, kini mobalik WALA_MAKAKITA. Pinaagi sa pagmonitor sa pagtaas sa gidaghanon sa mga report sa sistema sa paglabay sa panahon (kausa sa usa ka semana, bulan, ug uban pa), mahimo nimong masusi ang workload sa serbisyo ug ang gidaghanon sa mga serbisyo nga gihatag. Kini, siyempre, wala makalapas sa personal nga datos sa mga pasyente ug mga doktor, apan kini mahimong usa ka paglapas sa mga sekreto sa pamatigayon sa kompanya.
Source: www.habr.com