Erst vor ein paar Tagen habe ich auf Habré darüber, wie es dem russischen Online-Medizindienst DOC+ gelang, eine Datenbank mit detaillierten Zugriffsprotokollen öffentlich zugänglich zu machen, aus der Daten von Patienten und Servicemitarbeitern gewonnen werden konnten. Und hier ist ein neuer Vorfall mit einem weiteren russischen Dienst, der Patienten Online-Konsultationen mit Ärzten bietet – „Doctor Nearby“ (www.drclinics.ru).
Ich werde sofort schreiben, dass dank der Eignung des Personals von Doctor is Near die Schwachstelle schnell (2 Stunden nach der nächtlichen Benachrichtigung!) beseitigt wurde und höchstwahrscheinlich keine persönlichen und medizinischen Daten verloren gegangen sind. Im Gegensatz zum DOC+-Vorfall, bei dem ich sicher weiß, dass mindestens eine JSON-Datei mit Daten, 3.5 GB groß, in der „offenen Welt“ gelandet ist, sieht die offizielle Position so aus: „Eine kleine Menge an Daten ist vorübergehend öffentlich zugänglich geworden, was keine negativen Folgen für Mitarbeiter und Nutzer des DOC+-Dienstes haben kann.«.
Bei mir als Besitzer des Telegram-Kanals“", kontaktierte ein anonymer Abonnent die Website www.drclinics.ru und meldete eine potenzielle Sicherheitslücke.
Der Kern der Sicherheitslücke bestand darin, dass Sie, wenn Sie die URL kennen und sich unter Ihrem Konto im System befinden, die Daten anderer Patienten einsehen können.
Um ein neues Konto im Doctor Nearby-System zu registrieren, benötigen Sie eigentlich nur eine Mobiltelefonnummer, an die eine Bestätigungs-SMS gesendet wird, sodass niemand Probleme haben kann, sich in sein persönliches Konto einzuloggen.
Nachdem sich der Benutzer in sein persönliches Konto eingeloggt hatte, konnte er durch Ändern der URL in der Adressleiste seines Browsers sofort Berichte mit persönlichen Daten von Patienten und sogar medizinischen Diagnosen anzeigen.
Ein wesentliches Problem bestand darin, dass der Dienst eine fortlaufende Nummerierung der Berichte verwendet und bereits aus diesen Nummern eine URL bildet:
https://[адрес сайта]/…/…/40261/…
Daher reichte es aus, die minimal zulässige Anzahl (7911) und die maximale Anzahl (42926 – zum Zeitpunkt der Sicherheitslücke) festzulegen, um die Gesamtzahl (35015) der Berichte im System zu berechnen und sogar (bei böswilliger Absicht) herunterzuladen sie alle mit einem einfachen Skript.
Zu den einsehbaren Daten gehörten: vollständiger Name des Arztes und des Patienten, Geburtsdaten des Arztes und des Patienten, Telefonnummern des Arztes und des Patienten, Geschlecht des Arztes und des Patienten, E-Mail-Adressen des Arztes und des Patienten, Fachgebiet des Arztes , Datum der Konsultation, Kosten der Konsultation und in manchen Fällen sogar Diagnose (als Kommentar zum Bericht).
Diese Sicherheitslücke ist im Wesentlichen der vorherigen sehr ähnlich auf dem Server der Mikrofinanzorganisation „Zaimograd“. Durch die Suche konnten dann 36763 Verträge mit vollständigen Passdaten der Kunden der Organisation gefunden werden.
Wie ich von Anfang an angedeutet habe, zeigten die Mitarbeiter von Doctor Nearby echte Professionalität, und obwohl ich sie um 23:00 Uhr (Moskauer Zeit) über die Sicherheitslücke informierte, wurde der Zugriff auf mein persönliches Konto sofort für alle gesperrt, und um 1: 00 (Moskau-Zeit) wurde diese Schwachstelle behoben.
Ich kann nicht anders, als noch einmal die PR-Abteilung desselben DOC+ (New Medicine LLC) zu verärgern. Erklären „Eine kleine Menge Daten wurde vorübergehend öffentlich zugänglich gemacht„Sie verlieren die Tatsache aus den Augen, dass uns Daten zur „objektiven Kontrolle“ zur Verfügung stehen, nämlich die Shodan-Suchmaschine. Wie in den Kommentaren zu diesem Artikel richtig vermerkt – laut Shodan das Datum der ersten Fixierung des offenen ClickHouse-Servers auf der DOC+-IP-Adresse: 15.02.2019 03:08:00, Datum der letzten Fixierung: 17.03.2019/ 09/52 00:40:XNUMX. Die Datenbankgröße beträgt ca. XNUMX GB.
Insgesamt gab es 15 Fixierungen:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Aus der Aussage geht hervor, dass vorübergehend Es ist etwas mehr als ein Monat her, aber kleine Datenmenge das sind etwa 40 Gigabyte. Nun, ich weiß nicht…
Aber kehren wir zu „Der Doktor ist in der Nähe“ zurück.
Im Moment wird meine Berufsparanoia nur noch von einem kleinen Problem heimgesucht: Anhand der Serverantwort kann man die Anzahl der Meldungen im System herausfinden. Wenn Sie versuchen, einen Bericht von einer URL abzurufen, auf die nicht zugegriffen werden kann (der Bericht selbst jedoch verfügbar ist), kehrt der Server zurück ZUGRIFF ABGELEHNT, und wenn Sie versuchen, einen Bericht abzurufen, der nicht existiert, wird er zurückgegeben NICHT GEFUNDEN. Durch die Überwachung der Zunahme der Anzahl der Berichte im System im Laufe der Zeit (einmal pro Woche, Monat usw.) können Sie die Auslastung des Dienstes und das Volumen der bereitgestellten Dienste beurteilen. Dies stellt natürlich keinen Verstoß gegen die personenbezogenen Daten von Patienten und Ärzten dar, kann jedoch eine Verletzung der Geschäftsgeheimnisse des Unternehmens darstellen.
Source: habr.com