For bare et par dage siden på Habré om, hvordan det lykkedes den russiske online lægetjeneste DOC+ at efterlade en database med detaljerede adgangslogfiler i det offentlige domæne, hvorfra data fra patienter og servicemedarbejdere kunne hentes. Og her er en ny hændelse med en anden russisk tjeneste, der giver patienter online konsultationer med læger - "Doctor Nearby" (www.drclinics.ru).
Jeg vil skrive med det samme, at takket være tilstrækkeligheden af Doctor is Near-personalet blev sårbarheden hurtigt (2 timer fra meddelelsestidspunktet om natten!) elimineret, og højst sandsynligt var der ingen lækage af personlige og medicinske data. I modsætning til DOC+ hændelsen, hvor jeg med sikkerhed ved, at mindst én json-fil med data, 3.5 GB i størrelse, endte i den "åbne verden", og den officielle holdning ser således ud: "En mindre mængde data er midlertidigt blevet offentligt tilgængelig, hvilket ikke kan føre til negative konsekvenser for medarbejdere og brugere af DOC+-tjenesten.".
Med mig som ejer af Telegram-kanalen "", kontaktede en anonym abonnent og rapporterede en potentiel sårbarhed på webstedet www.drclinics.ru.
Essensen af sårbarheden var, at du ved at kende URL'en og være i systemet under din konto kunne se data fra andre patienter.
For at registrere en ny konto i Doctor Nearby-systemet behøver du faktisk kun et mobiltelefonnummer, som der sendes en bekræftelses-SMS til, så ingen kunne have problemer med at logge ind på deres personlige konto.
Efter at brugeren loggede ind på sin personlige konto, kunne han straks, ved at ændre URL'en i adresselinjen i sin browser, se rapporter, der indeholdt personlige data om patienter og endda medicinske diagnoser.
Et væsentligt problem var, at tjenesten bruger kontinuerlig nummerering af rapporter og allerede danner en URL fra disse numre:
https://[адрес сайта]/…/…/40261/…
Derfor var det nok at indstille det mindst tilladte antal (7911) og det maksimale (42926 - på tidspunktet for sårbarheden) for at beregne det samlede antal (35015) rapporter i systemet og endda (hvis der var ondsindet hensigt) download dem alle med et simpelt script.
Blandt de data, der var tilgængelige for visning, var: lægens og patientens fulde navn, lægens og patientens fødselsdato, lægens og patientens telefonnumre, lægens og patientens køn, lægens og patientens e-mailadresser, lægens speciale , dato for konsultation, omkostninger til konsultation og i nogle tilfælde endda diagnose (som en kommentar til rapporten).
Denne sårbarhed er i bund og grund meget lig den, der var på serveren til mikrofinansieringsorganisationen "Zaimograd". Derefter var det ved søgning muligt at opnå 36763 kontrakter, der indeholdt de fulde pasdata for organisationens kunder.
Som jeg antydede lige fra begyndelsen, udviste Doctor Nearby-medarbejderne ægte professionalisme, og på trods af at jeg informerede dem om sårbarheden kl. 23:00 (Moskva-tid), blev adgangen til min personlige konto øjeblikkeligt lukket for alle, og inden 1: 00 (Moskva-tid) er denne sårbarhed blevet rettet.
Jeg kan ikke lade være med at sparke endnu en gang til PR-afdelingen i samme DOC+ (New Medicine LLC). Erklærer"En lille mængde data blev midlertidigt gjort offentligt tilgængelig“, de mister af syne, at vi har “objektiv kontrol”-data til vores rådighed, nemlig Shodan-søgemaskinen. Som korrekt bemærket i kommentarerne til den artikel - ifølge Shodan, datoen for den første fiksering af den åbne ClickHouse-server på DOC+ IP-adressen: 15.02.2019/03/08 00:17.03.2019:09, dato for sidste fiksering: 52/ 00/40 XNUMX:XNUMX:XNUMX. Databasestørrelsen er omkring XNUMX GB.
Der var i alt 15 fikseringer:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Af redegørelsen fremgår det, at midlertidigt det er lidt over en måned, men lille mængde data dette er cirka 40 gigabyte. Jamen jeg ved det ikke...
Men lad os vende tilbage til "Lægen er i nærheden."
I øjeblikket er min professionelle paranoia hjemsøgt af kun ét tilbageværende mindre problem - ved serversvaret kan du finde ud af antallet af rapporter i systemet. Når du forsøger at få en rapport fra en URL, der ikke er tilgængelig (men selve rapporten er tilgængelig), vender serveren tilbage ADGANG NÆGTET, og når du forsøger at få en rapport, der ikke eksisterer, vender den tilbage IKKE FUNDET. Ved at overvåge stigningen i antallet af indberetninger i systemet over tid (en gang om ugen, måned osv.), kan du vurdere ydelsens arbejdsbyrde og omfanget af ydelser. Dette krænker naturligvis ikke patienters og lægers personlige data, men det kan være en krænkelse af virksomhedens forretningshemmeligheder.
Kilde: www.habr.com