Zrovna před pár dny jsem
Hned napíšu, že díky adekvátnosti personálu Doctor is Near byla zranitelnost rychle (2 hodiny od okamžiku upozornění v noci!) odstraněna a s největší pravděpodobností nedošlo k úniku osobních a zdravotních dat. Na rozdíl od incidentu DOC+, kde s jistotou vím, že minimálně jeden json soubor s daty o velikosti 3.5 GB skončil v „otevřeném světě“ a oficiální pozice vypadá takto: „Malé množství dat se dočasně stalo veřejně dostupným, což nemůže vést k negativním důsledkům pro zaměstnance a uživatele služby DOC+.".
Se mnou, jako vlastníkem kanálu Telegram "
Podstatou zranitelnosti bylo, že když znáte adresu URL a jste v systému pod svým účtem, můžete si prohlížet data ostatních pacientů.
K registraci nového účtu v systému Doctor Blízko vám vlastně stačí pouze mobilní telefonní číslo, na které je zasílána potvrzovací SMS, takže nikdo nemohl mít problémy s přihlášením do svého osobního účtu.
Poté, co se uživatel přihlásil do svého osobního účtu, mohl si změnou URL adresy v adresním řádku svého prohlížeče okamžitě prohlížet zprávy obsahující osobní údaje pacientů a dokonce i lékařské diagnózy.
Významným problémem bylo, že služba používá průběžné číslování sestav a z těchto čísel již tvoří URL:
https://[адрес сайта]/…/…/40261/…
Stačilo tedy nastavit minimální povolený počet (7911) a maximální (42926 - v době zranitelnosti) pro výpočet celkového počtu (35015) hlášení v systému a dokonce (pokud tam byl nekalý úmysl) stažení všechny pomocí jednoduchého scénáře.
Mezi dostupné údaje k nahlédnutí byly: celé jméno lékaře a pacienta, data narození lékaře a pacienta, telefonní čísla lékaře a pacienta, pohlaví lékaře a pacienta, emailové adresy lékaře a pacienta, specializace lékaře , datum konzultace, cena konzultace a v některých případech i diagnóza (jako komentář ke zprávě).
Tato zranitelnost je v podstatě velmi podobná té, která byla
Jak jsem již od začátku naznačil, zaměstnanci Doctora Nedaleko prokázali skutečnou profesionalitu a přestože jsem je o zranitelnosti informoval ve 23:00 (moskevského času), přístup k mému osobnímu účtu byl okamžitě všem uzavřen a do 1:00: XNUMX (moskevského času) byla tato chyba zabezpečení opravena.
Nemohu si pomoci, ale ještě jednou nakopnout PR oddělení téhož DOC+ (New Medicine LLC). prohlašování"Malé množství dat bylo dočasně zpřístupněno veřejnosti“, ztrácejí ze zřetele skutečnost, že máme k dispozici data „objektivní kontroly“, konkrétně vyhledávač Shodan. Jak je správně uvedeno v komentářích k tomuto článku - podle Shodana datum první fixace otevřeného serveru ClickHouse na IP adrese DOC+: 15.02.2019 03:08:00, datum poslední fixace: 17.03.2019/ 09/52 00:40:XNUMX. Velikost databáze je asi XNUMX GB.
Celkem bylo 15 fixací:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
Z prohlášení to vyplývá dočasně je to něco málo přes měsíc, ale malé množství dat to je přibližně 40 gigabajtů. No, já nevím…
Ale vraťme se k „Doktor je poblíž“.
V tuto chvíli mou profesionální paranoiu pronásleduje pouze jeden drobný problém - podle odezvy serveru lze zjistit počet hlášení v systému. Když se pokusíte získat sestavu z adresy URL, která není přístupná (ale samotná sestava je k dispozici), server se vrátí PŘÍSTUP ODEPŘEN, a když se pokusíte získat zprávu, která neexistuje, vrátí se NENALEZENO. Sledováním nárůstu počtu reportů v systému v čase (jednou týdně, měsíčně apod.) můžete posoudit vytíženost služby a objem poskytovaných služeb. To samozřejmě neporušuje osobní údaje pacientů a lékařů, ale může jít o porušení obchodního tajemství společnosti.
Zdroj: www.habr.com