Μόλις πριν από μερικές μέρες εγώ στο Habré σχετικά με το πώς η ρωσική διαδικτυακή ιατρική υπηρεσία DOC+ κατάφερε να αφήσει μια βάση δεδομένων με λεπτομερή αρχεία καταγραφής πρόσβασης στο δημόσιο τομέα, από την οποία μπορούσαν να ληφθούν δεδομένα ασθενών και υπαλλήλων υπηρεσιών. Και εδώ είναι ένα νέο περιστατικό, με μια άλλη ρωσική υπηρεσία που παρέχει στους ασθενείς διαδικτυακές διαβουλεύσεις με γιατρούς - το "Doctor Nearby" (www.drclinics.ru).
Θα γράψω αμέσως ότι χάρη στην επάρκεια του προσωπικού του Doctor is Near, η ευπάθεια εξαλείφθηκε γρήγορα (2 ώρες από τη στιγμή της ειδοποίησης το βράδυ!) και πιθανότατα δεν υπήρξε διαρροή προσωπικών και ιατρικών δεδομένων. Σε αντίθεση με το περιστατικό DOC+, όπου γνωρίζω με βεβαιότητα ότι τουλάχιστον ένα αρχείο json με δεδομένα, μεγέθους 3.5 GB, κατέληξε στον «ανοιχτό κόσμο» και η επίσημη θέση μοιάζει με αυτό:Ένας μικρός όγκος δεδομένων έχει γίνει προσωρινά διαθέσιμος στο κοινό, γεγονός που δεν μπορεί να οδηγήσει σε αρνητικές συνέπειες για τους εργαζόμενους και τους χρήστες της υπηρεσίας DOC+.".
Μαζί μου, ως ιδιοκτήτης του καναλιού Telegram "", ένας ανώνυμος συνδρομητής επικοινώνησε και ανέφερε μια πιθανή ευπάθεια στον ιστότοπο www.drclinics.ru.
Η ουσία της ευπάθειας ήταν ότι, γνωρίζοντας τη διεύθυνση URL και βρίσκοντας το σύστημα κάτω από τον λογαριασμό σας, μπορούσατε να προβάλετε τα δεδομένα άλλων ασθενών.
Για να καταχωρίσετε έναν νέο λογαριασμό στο σύστημα Doctor Nearby, χρειάζεστε στην πραγματικότητα μόνο έναν αριθμό κινητού τηλεφώνου στον οποίο αποστέλλεται ένα SMS επιβεβαίωσης, έτσι ώστε κανείς να μην έχει προβλήματα με τη σύνδεση στον προσωπικό του λογαριασμό.
Αφού ο χρήστης συνδεθεί στον προσωπικό του λογαριασμό, μπορούσε αμέσως, αλλάζοντας τη διεύθυνση URL στη γραμμή διευθύνσεων του προγράμματος περιήγησής του, να δει αναφορές που περιέχουν προσωπικά δεδομένα ασθενών, ακόμη και ιατρικές διαγνώσεις.
Ένα σημαντικό πρόβλημα ήταν ότι η υπηρεσία χρησιμοποιεί συνεχή αρίθμηση αναφορών και σχηματίζει ήδη μια διεύθυνση URL από αυτούς τους αριθμούς:
https://[адрес сайта]/…/…/40261/…
Επομένως, αρκούσε να ορίσετε τον ελάχιστο επιτρεπόμενο αριθμό (7911) και το μέγιστο (42926 - τη στιγμή της ευπάθειας) για να υπολογίσετε τον συνολικό αριθμό (35015) αναφορών στο σύστημα και ακόμη και (εάν υπήρχε κακόβουλη πρόθεση) λήψη όλα με ένα απλό σενάριο.
Μεταξύ των διαθέσιμων δεδομένων για προβολή ήταν: πλήρες όνομα γιατρού και ασθενούς, ημερομηνίες γέννησης γιατρού και ασθενούς, αριθμοί τηλεφώνου γιατρού και ασθενούς, φύλο γιατρού και ασθενούς, διευθύνσεις ηλεκτρονικού ταχυδρομείου γιατρού και ασθενούς, ειδικότητα γιατρού , ημερομηνία διαβούλευσης, κόστος διαβούλευσης και σε ορισμένες περιπτώσεις ακόμη και διάγνωση (ως σχόλιο στην έκθεση).
Αυτή η ευπάθεια είναι ουσιαστικά πολύ παρόμοια με αυτή που ήταν στον διακομιστή του οργανισμού μικροχρηματοδότησης "Zaimograd". Στη συνέχεια, μέσω αναζήτησης, κατέστη δυνατό να ληφθούν 36763 συμβόλαια που περιείχαν τα πλήρη δεδομένα διαβατηρίων των πελατών του οργανισμού.
Όπως ανέφερα από την αρχή, οι υπάλληλοι του Doctor Nearby έδειξαν πραγματικό επαγγελματισμό και παρά το γεγονός ότι τους ενημέρωσα για την ευπάθεια στις 23:00 (ώρα Μόσχας), η πρόσβαση στον προσωπικό μου λογαριασμό έκλεισε αμέσως σε όλους και κατά 1: 00 (ώρα Μόσχας) αυτή η ευπάθεια έχει διορθωθεί.
Δεν μπορώ παρά να χτυπήσω για άλλη μια φορά το τμήμα δημοσίων σχέσεων του ίδιου DOC+ (New Medicine LLC). δηλώνοντας "Ένας μικρός όγκος δεδομένων έγινε προσωρινά διαθέσιμος στο κοινό», χάνουν τα μάτια τους το γεγονός ότι έχουμε στη διάθεσή μας δεδομένα «αντικειμενικού ελέγχου», δηλαδή τη μηχανή αναζήτησης Shodan. Όπως σημειώνεται σωστά στα σχόλια αυτού του άρθρου - σύμφωνα με τον Shodan, η ημερομηνία της πρώτης στερέωσης του ανοιχτού διακομιστή ClickHouse στη διεύθυνση IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, ημερομηνία τελευταίας σταθεροποίησης: 52/ 00/40 XNUMX:XNUMX:XNUMX. Το μέγεθος της βάσης δεδομένων είναι περίπου XNUMX GB.
Συνολικά έγιναν 15 επισκευές:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Από τη δήλωση προκύπτει ότι προσωρινά είναι λίγο πάνω από ένα μήνα, αλλά μικρή ποσότητα δεδομένων αυτό είναι περίπου 40 gigabyte. Λοιπόν, δεν ξέρω…
Αλλά ας επιστρέψουμε στο «Ο γιατρός είναι κοντά».
Προς το παρόν, η επαγγελματική μου παράνοια στοιχειώνεται από ένα μόνο μικρό πρόβλημα - από την απόκριση του διακομιστή μπορείτε να μάθετε τον αριθμό των αναφορών στο σύστημα. Όταν προσπαθείτε να λάβετε μια αναφορά από μια διεύθυνση URL που δεν είναι προσβάσιμη (αλλά η ίδια η αναφορά είναι διαθέσιμη), ο διακομιστής επιστρέφει ACCESS_DENIED, και όταν προσπαθείτε να λάβετε μια αναφορά που δεν υπάρχει, επιστρέφει ΔΕΝ ΒΡΕΘΗΚΕ. Παρακολουθώντας την αύξηση του αριθμού των αναφορών στο σύστημα με την πάροδο του χρόνου (μία φορά την εβδομάδα, μήνα κ.λπ.), μπορείτε να αξιολογήσετε τον φόρτο εργασίας της υπηρεσίας και τον όγκο των παρεχόμενων υπηρεσιών. Αυτό, φυσικά, δεν παραβιάζει τα προσωπικά δεδομένα ασθενών και γιατρών, αλλά μπορεί να αποτελεί παραβίαση των εμπορικών μυστικών της εταιρείας.
Πηγή: www.habr.com