Solu un paru di ghjorni fà nantu à Habré nantu à cumu u serviziu medicale in linea russa DOC + hà sappiutu lascià una basa di dati cù logs d'accessu dettagliati in u duminiu publicu, da quale i dati di i pazienti è l'impiegati di u serviziu puderanu esse acquistati. È quì hè un novu incidente, cù un altru serviziu russu chì furnisce i pazienti cunsultazioni in linea cù i medichi - "Doctor Nearby" (www.drclinics.ru).
Scriveraghju subitu chì grazia à l'adeguatezza di u staffu di u duttore hè vicinu, a vulnerabilità hè stata rapidamente (2 ore da u mumentu di a notificazione di notte!) Eliminata è più prubabilmente ùn ci era micca fuga di dati persunali è medichi. A cuntrariu di l'incidentu DOC+, induve sò sicuru chì almenu un schedariu json cù dati, 3.5 GB di dimensione, hè finitu in u "mondu apertu", è a pusizione ufficiale pare cusì: "Una piccula quantità di dati hè diventata temporaneamente dispunibule publicamente, chì ùn pò micca purtà à cunsequenze negative per l'impiegati è l'utilizatori di u serviziu DOC +.".
Cun mè, cum'è u pruprietariu di u canali Telegram "", un abbonatu anonimu hà cuntattatu è hà signalatu una vulnerabilità potenziale nantu à u situ web www.drclinics.ru.
L'essenza di a vulnerabilità era chì, sapendu l'URL è essendu in u sistema sottu u vostru contu, pudete vede e dati di altri pazienti.
Per registrà un novu contu in u sistema di Doctor Nearby, avete bisognu solu un numeru di telefuninu mobile à u quale hè mandatu un SMS di cunferma, cusì nimu puderia avè prublemi à accede à u so contu persunale.
Dopu chì l'utilizatore hà cunnessu in u so contu persunale, puderia immediatamente, cambiendu l'URL in a barra di indirizzu di u so navigatore, vede rapporti chì cuntenenu dati persunali di i pazienti è ancu diagnostichi medichi.
Un prublema significativu era chì u serviziu usa una numerazione cuntinuu di rapporti è forma digià un URL da questi numeri:
https://[адрес сайта]/…/…/40261/…
Dunque, era abbastanza per stabilisce u numeru minimu permessu (7911) è u massimu (42926 - à u mumentu di a vulnerabilità) per calculà u numeru tutale (35015) di rapporti in u sistema è ancu (s'ellu ci era intenzione maliziosa) scaricate. tutti cun un script simplice.
Trà i dati dispunibuli per a visualizazione eranu: nome cumpletu di u duttore è u paziente, e date di nascita di u duttore è u paziente, i numeri di telefunu di u duttore è u paziente, u sessu di u duttore è u paziente, l'indirizzi email di u duttore è u paziente, a specializazione di u duttore. , data di cunsultazione, costu di cunsultazione è in certi casi ancu diagnosi (cum'è un cumentu à u rapportu).
Questa vulnerabilità hè essenzialmente assai simili à quella chì era nantu à u servitore di l'urganizazione di microfinanza "Zaimograd". Allora, per circà, era pussibule di ottene 36763 XNUMX cuntratti chì cuntenenu i dati di passaportu cumpletu di i clienti di l'urganisazione.
Cumu l'aghju indicatu da u principiu, l'impiegati di u Doctor Nearby anu dimustratu una vera prufessionalità è malgradu u fattu chì l'aghju infurmatu nantu à a vulnerabilità à 23:00 (ora di Mosca), l'accessu à u mo contu persunale hè statu immediatamente chjusu à tutti, è da 1: 00 (ora di Mosca) sta vulnerabilità hè stata riparata.
Ùn possu micca aiutà à chjappà una volta di più u dipartimentu PR di u listessu DOC + (New Medicine LLC). Dichjarà "Una piccula quantità di dati hè stata temporaneamente dispunibule publicamente", perdenu a vista di u fattu chì avemu i dati di "cuntrollu obiettivu" à a nostra dispusizione, à dì u mutore di ricerca Shodan. Cume currettamente in i cumenti à quellu articulu - secondu Shodan, a data di a prima fissazione di u servitore ClickHouse apertu nantu à l'indirizzu IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data di l'ultima fissazione: 52/ 00/40 XNUMX:XNUMX:XNUMX. A dimensione di a basa di dati hè di circa XNUMX GB.
Ci era 15 fissazioni in totale:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Da a dichjarazione pare chì temporaneamente hè un pocu più di un mese, ma piccula quantità di dati questu hè circa 40 gigabyte. Bè, ùn sò micca sapè…
Ma vultemu à "U duttore hè vicinu".
À u mumentu, a mo paranoia prufessiunale hè perseguita da un solu prublema minore restante - da a risposta di u servitore pudete scopre u numeru di rapporti in u sistema. Quandu pruvate d'avè un rapportu da un URL chì ùn hè micca accessibile (ma u rapportu stessu hè dispunibule), u servitore torna ACCESS_DENIED, è quandu pruvate d'avè un rapportu chì ùn esiste micca, torna MICCA TROVU. Monitorendu l'aumentu di u numeru di rapporti in u sistema cù u tempu (una volta à settimana, mese, etc.), pudete valutà a carica di travagliu di u serviziu è u voluminu di servizii furniti. Questu, sicuru, ùn viola micca i dati persunali di i pazienti è i medichi, ma pò esse una violazione di i sicreti cummerciale di a cumpagnia.
Source: www.habr.com