Zrovna před pár dny jsem na Habré o tom, jak se ruské online lékařské službě DOC+ podařilo ponechat ve veřejné doméně databázi s podrobnými přístupovými logy, ze kterých bylo možné získat data pacientů a zaměstnanců služby. A zde je nový incident s další ruskou službou, která pacientům poskytuje online konzultace s lékaři – „Doctor Blízko“ (www.drclinics.ru).
Hned napíšu, že díky adekvátnosti personálu Doctor is Near byla zranitelnost rychle (2 hodiny od okamžiku upozornění v noci!) odstraněna a s největší pravděpodobností nedošlo k úniku osobních a zdravotních dat. Na rozdíl od incidentu DOC+, kde s jistotou vím, že minimálně jeden json soubor s daty o velikosti 3.5 GB skončil v „otevřeném světě“ a oficiální pozice vypadá takto: „Malé množství dat se dočasně stalo veřejně dostupným, což nemůže vést k negativním důsledkům pro zaměstnance a uživatele služby DOC+.".
Se mnou, jako vlastníkem kanálu Telegram "“, kontaktoval anonymní předplatitel a nahlásil potenciální zranitelnost na webu www.drclinics.ru.
Podstatou zranitelnosti bylo, že když znáte adresu URL a jste v systému pod svým účtem, můžete si prohlížet data ostatních pacientů.
K registraci nového účtu v systému Doctor Blízko vám vlastně stačí pouze mobilní telefonní číslo, na které je zasílána potvrzovací SMS, takže nikdo nemohl mít problémy s přihlášením do svého osobního účtu.
Poté, co se uživatel přihlásil do svého osobního účtu, mohl si změnou URL adresy v adresním řádku svého prohlížeče okamžitě prohlížet zprávy obsahující osobní údaje pacientů a dokonce i lékařské diagnózy.
Významným problémem bylo, že služba používá průběžné číslování sestav a z těchto čísel již tvoří URL:
https://[адрес сайта]/…/…/40261/…
Stačilo tedy nastavit minimální povolený počet (7911) a maximální (42926 - v době zranitelnosti) pro výpočet celkového počtu (35015) hlášení v systému a dokonce (pokud tam byl nekalý úmysl) stažení všechny pomocí jednoduchého scénáře.
Mezi dostupné údaje k nahlédnutí byly: celé jméno lékaře a pacienta, data narození lékaře a pacienta, telefonní čísla lékaře a pacienta, pohlaví lékaře a pacienta, emailové adresy lékaře a pacienta, specializace lékaře , datum konzultace, cena konzultace a v některých případech i diagnóza (jako komentář ke zprávě).
Tato zranitelnost je v podstatě velmi podobná té, která byla na serveru mikrofinanční organizace „Zaimograd“. Poté bylo možné vyhledáváním získat 36763 XNUMX smluv obsahujících úplné pasové údaje klientů organizace.
Jak jsem již od začátku naznačil, zaměstnanci Doctora Nedaleko prokázali skutečnou profesionalitu a přestože jsem je o zranitelnosti informoval ve 23:00 (moskevského času), přístup k mému osobnímu účtu byl okamžitě všem uzavřen a do 1:00: XNUMX (moskevského času) byla tato chyba zabezpečení opravena.
Nemohu si pomoci, ale ještě jednou nakopnout PR oddělení téhož DOC+ (New Medicine LLC). prohlašování"Malé množství dat bylo dočasně zpřístupněno veřejnosti“, ztrácejí ze zřetele skutečnost, že máme k dispozici data „objektivní kontroly“, konkrétně vyhledávač Shodan. Jak je správně uvedeno v komentářích k tomuto článku - podle Shodana datum první fixace otevřeného serveru ClickHouse na IP adrese DOC+: 15.02.2019 03:08:00, datum poslední fixace: 17.03.2019/ 09/52 00:40:XNUMX. Velikost databáze je asi XNUMX GB.
Celkem bylo 15 fixací:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Z prohlášení to vyplývá dočasně je to něco málo přes měsíc, ale malé množství dat to je přibližně 40 gigabajtů. No, já nevím…
Ale vraťme se k „Doktor je poblíž“.
V tuto chvíli mou profesionální paranoiu pronásleduje pouze jeden drobný problém - podle odezvy serveru lze zjistit počet hlášení v systému. Když se pokusíte získat sestavu z adresy URL, která není přístupná (ale samotná sestava je k dispozici), server se vrátí PŘÍSTUP ODEPŘEN, a když se pokusíte získat zprávu, která neexistuje, vrátí se NENALEZENO. Sledováním nárůstu počtu reportů v systému v čase (jednou týdně, měsíčně apod.) můžete posoudit vytíženost služby a objem poskytovaných služeb. To samozřejmě neporušuje osobní údaje pacientů a lékařů, ale může jít o porušení obchodního tajemství společnosti.
Zdroj: www.habr.com