Antaŭ nur kelkaj tagoj mi pri Habré pri kiel la rusa interreta medicina servo DOC+ sukcesis lasi datumbazon kun detalaj alirprotokoloj en la publika havaĵo, el kiu oni povis akiri datumojn de pacientoj kaj servaj dungitoj. Kaj jen nova okazaĵo, kun alia rusa servo, kiu provizas pacientojn per interretaj konsultoj kun kuracistoj - "Doctor Nearby" (www.drclinics.ru).
Mi tuj skribos, ke danke al la taŭgeco de la dungitaro de la Doktoro estas Proksima, la vundebleco estis rapide (2 horoj de la momento de sciigo nokte!) forigita kaj plej verŝajne ne estis fuko de personaj kaj medicinaj datumoj. Male al la okazaĵo DOC+, kie mi certe scias, ke almenaŭ unu json-dosiero kun datumoj, 3.5 GB en grandeco, finiĝis en la "malferma mondo", kaj la oficiala pozicio aspektas jene: "Malgranda kvanto da datumoj provizore fariĝis publike disponebla, kio ne povas konduki al negativaj sekvoj por dungitoj kaj uzantoj de la servo DOC+.".
Kun mi, kiel la posedanto de la Telegram-kanalo "", anonima abonanto kontaktis kaj raportis eblan vundeblecon en la retejo www.drclinics.ru.
La esenco de la vundebleco estis ke, konante la URL kaj estante en la sistemo sub via konto, eblis vidi la datumojn de aliaj pacientoj.
Por registri novan konton en la Doktoro Proksima sistemo, vi fakte bezonas nur poŝtelefonnumeron al kiu konfirma SMS estas sendita, do neniu povus havi problemojn ensaluti en sia persona konto.
Post kiam la uzanto ensalutis en sian personan konton, li povis tuj, ŝanĝante la URL en la adresbreto de sia retumilo, vidi raportojn enhavantajn personajn datumojn de pacientoj kaj eĉ medicinajn diagnozojn.
Grava problemo estis, ke la servo uzas kontinuan numeradon de raportoj kaj jam formas URL el ĉi tiuj nombroj:
https://[адрес сайта]/…/…/40261/…
Tial, sufiĉis agordi la minimuman permesitan nombron (7911) kaj la maksimumon (42926 - en la momento de la vundebleco) por kalkuli la totalan nombron (35015) de raportoj en la sistemo kaj eĉ (se estis malica intenco) elŝuti. ilin ĉiuj per simpla skripto.
Inter la datumoj disponeblaj por rigardado estis: plena nomo de la kuracisto kaj paciento, datoj de naskiĝo de la kuracisto kaj paciento, telefonnumeroj de la kuracisto kaj paciento, sekso de la kuracisto kaj paciento, retadresoj de la kuracisto kaj paciento, specialiĝo de kuracisto. , dato de konsulto, kosto de konsulto kaj en kelkaj kazoj eĉ diagnozo ( kiel komento al la raporto).
Ĉi tiu vundebleco estas esence tre simila al tiu kiu estis sur la servilo de la mikrofinanca organizo "Zaimograd". Tiam, per serĉado, eblis akiri 36763 kontraktojn enhavantajn kompletajn pasportajn datumojn de la klientoj de la organizo.
Kiel mi indikis de la komenco, la dungitoj de Doctor Nearby montris realan profesiecon kaj malgraŭ tio, ke mi informis ilin pri la vundebleco je la 23:00 (Moskva tempo), aliro al mia persona konto estis tuj fermita al ĉiuj, kaj antaŭ 1: 00 (Moskva tempo) ĉi tiu vundebleco estis riparita.
Mi ne povas ne piedbati denove la PR-fakon de la sama DOC+ (New Medicine LLC). Deklarante "Malgranda kvanto da datumoj provizore fariĝis publike havebla", ili perdas la fakton, ke ni disponas pri datumoj de "objektiva kontrolo", nome la serĉilon Shodan. Kiel ĝuste notite en la komentoj al tiu artikolo - laŭ Shodan, la dato de la unua fiksado de la malfermita servilo ClickHouse sur la IP-adreso DOC+: 15.02.2019/03/08 00:17.03.2019:09, dato de la lasta fiksado: 52/ 00/40 XNUMX:XNUMX:XNUMX. La grando de la datumbazo estas ĉirkaŭ XNUMX GB.
Ekzistis 15 fiksadoj entute:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00El la deklaro aperas ke provizore estas iom pli ol monato, sed malgranda kvanto da datumoj ĉi tio estas proksimume 40 gigabajtoj. Nu mi ne scias…
Sed ni revenu al "La Doktoro Estas Proksima".
Nuntempe mia profesia paranojo estas hantata de nur unu restanta negrava problemo - per la servila respondo vi povas ekscii la nombron da raportoj en la sistemo. Kiam vi provas ricevi raporton de URL, kiu ne estas alirebla (sed la raporto mem disponeblas), la servilo revenas ACCESS_DENIED, kaj kiam vi provas ricevi raporton kiu ne ekzistas, ĝi revenas NE TROVITA. Monitorante la pliiĝon de la nombro da raportoj en la sistemo laŭlonge de la tempo (unufoje semajne, monaton, ktp.), vi povas taksi la laborŝarĝon de la servo kaj la volumon de servoj provizitaj. Ĉi tio, kompreneble, ne malobservas la personajn datumojn de pacientoj kaj kuracistoj, sed ĝi povas esti malobservo de la komercaj sekretoj de la kompanio.
fonto: www.habr.com