Alle Ihre Analysen sind öffentlich zugänglich

Hallo zusammen! Ich habe wieder eine offene Datenbank mit medizinischen Informationen für Sie gefunden. Ich erinnere daran, dass es hier kürzlich drei meiner Artikel zu diesem Thema gab: Datenleck von Patientendaten und Ärzten aus dem medizinischen Online-Dienst DOC+, Sicherheitsanfälligkeit des Dienstes „Doktor in der Nähe“ und Datenleck von Notfallmedizin-Stationen.

Alle Ihre Analysen sind öffentlich zugänglich

Diesmal war ein Elasticsearch-Server mit Protokollen des medizinischen IT-Systems des Labor-Netzwerks „Zentrum für molekulare Diagnostik“ (CMD, www.cmd-online.ru) öffentlich zugänglich.

Haftungsausschluss: Alle Informationen unten werden ausschließlich zu Bildungszwecken veröffentlicht. Der Autor hatte keinen Zugang zu persönlichen Daten Dritter oder Unternehmen. Die Informationen stammen entweder aus öffentlichen Quellen oder wurden dem Autor von anonymen, wohlwollenden Personen zur Verfügung gestellt.

Der Server wurde am Morgen des 1. April entdeckt, und das fand ich überhaupt nicht lustig. Die Benachrichtigung über das Problem wurde gegen 10 Uhr (MSK) an CMD gesendet, und gegen 15:00 Uhr wurde die Datenbank nicht mehr verfügbar.

Laut der Suchmaschine Shodan war dieser Server erstmals am 09.03.2019 öffentlich zugänglich. Über das, wie man offene Elasticsearch-Datenbanken entdeckt,habe ich einen separaten Artikel geschrieben.

Aus den Protokollen konnten sehr sensible Informationen extrahiert werden, einschließlich Namen, Geschlecht, Geburtsdaten von Patienten, Namen der Ärzte, Kosten der Untersuchungen, Daten der Untersuchungen, Dateien mit Screening-Ergebnissen. und vieles mehr.

Ein Beispielprotokoll mit den Analyseergebnissen eines Patienten:

"Pass0423BF97FA5E-1DWW98675708386841791018.03.2019ROSSF RU.13SK03.006012iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888////

Ich habe alle sensiblen Daten mit dem Zeichen „X“ anonymisiert. Tatsächlich wurden sie in unverschlüsselter Form gespeichert.

Aus solchen Logs konnten leicht (durch Decodierung aus Base64) PNG-Dateien mit den Ergebnissen des Screenings in einem lesbaren Format gewonnen werden:

Alle Ihre Analysen sind öffentlich zugänglich

Die Gesamtgröße der Logs überschritt 400 MB und enthielt insgesamt mehr als eine Million Einträge. Es ist klar, dass nicht jeder Eintrag Daten eines einzigartigen Patienten darstellte.

Offizielle Antwort von CMD:

Wir möchten uns bei Ihnen bedanken für die zeitnahe Übermittlung der Informationen am 01.04.2019 über die vorhandene Schwachstelle in der Datenbank zur Protokollierung und Speicherung von Fehlern in Elasticsearch.

Basierend auf diesen Informationen wurde der Zugang zur genannten Datenbank von unseren Mitarbeitern in Zusammenarbeit mit Fachspezialisten eingeschränkt. Der Fehler bei der Übertragung von vertraulichen Informationen in die technische Datenbank wurde behoben.

Bei der Untersuchung des Vorfalls konnte festgestellt werden, dass das Auftauchen der genannten Datenbank mit Fehlerlogs im öffentlichen Zugang auf einen menschlichen Fehler zurückzuführen war. Der Zugang zu den Daten wurde am 01.04.2019 umgehend geschlossen.

Derzeit führen interne und externe Fachleute Maßnahmen für eine zusätzliche Überprüfung der IT-Infrastruktur hinsichtlich des Datenschutzes durch.

Unsere Organisation hat eine spezielle Richtlinie für den Umgang mit personenbezogenen Daten und ein System der Verantwortlichkeit für Mitarbeiter entwickelt.

Die aktuelle Software-Infrastruktur sieht die Verwendung von Elasticsearch zur Speicherung von Fehlern vor. Um die Zuverlässigkeit bestimmter Systeme zu erhöhen, wird eine Migration entsprechender Server in das Rechenzentrum unseres Partners auf eine zertifizierte Software-Hardware-Umgebung durchgeführt.

Vielen Dank für die rechtzeitige Bereitstellung von Informationen.

Neuigkeiten über Datenlecks und Insider finden Sie immer auf meinem Telegram-Kanal „Datenlecks».

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster