Hace apenas un par de días yo Habré sobre cómo el servicio médico en línea ruso DOC+ logró dejar en el dominio público una base de datos con registros de acceso detallados, de donde se podían obtener datos de pacientes y empleados del servicio. Y aquí hay un nuevo incidente con otro servicio ruso que ofrece a los pacientes consultas médicas en línea: "Doctor Near" (www.drclinics.ru).
Escribiré de inmediato que gracias a la idoneidad del personal de Doctor is Near, la vulnerabilidad se eliminó rápidamente (¡2 horas desde el momento de la notificación por la noche!) y lo más probable es que no hubo filtración de datos personales y médicos. A diferencia del incidente DOC+, donde estoy seguro de que al menos un archivo json con datos, de 3.5 GB de tamaño, terminó en el “mundo abierto”, y la posición oficial se ve así: “Una pequeña cantidad de datos se ha hecho pública temporalmente, lo que no puede tener consecuencias negativas para los empleados y usuarios del servicio DOC+.«.
Conmigo, como dueño del canal Telegram "", contactó un suscriptor anónimo e informó de una posible vulnerabilidad en el sitio web www.drclinics.ru.
La esencia de la vulnerabilidad era que, conociendo la URL y estando en el sistema con su cuenta, podía ver los datos de otros pacientes.
Para registrar una nueva cuenta en el sistema Doctor Near, en realidad solo necesita un número de teléfono móvil al que se envía un SMS de confirmación, por lo que nadie podría tener problemas para iniciar sesión en su cuenta personal.
Después de que el usuario inicia sesión en su cuenta personal, puede inmediatamente, cambiando la URL en la barra de direcciones de su navegador, ver informes que contienen datos personales de pacientes e incluso diagnósticos médicos.
Un problema importante fue que el servicio utiliza una numeración continua de informes y ya forma una URL a partir de estos números:
https://[адрес сайта]/…/…/40261/…
Por lo tanto, fue suficiente establecer el número mínimo permitido (7911) y el máximo (42926 - en el momento de la vulnerabilidad) para calcular el número total (35015) de informes en el sistema e incluso (si hubo intención maliciosa) descargar Todos ellos con un guión sencillo.
Entre los datos disponibles para visualización estaban: nombre completo del médico y del paciente, fechas de nacimiento del médico y del paciente, números de teléfono del médico y del paciente, sexo del médico y del paciente, direcciones de correo electrónico del médico y del paciente, especialización del médico , fecha de consulta, coste de la consulta y en algunos casos incluso diagnóstico (como comentario al informe).
Esta vulnerabilidad es esencialmente muy similar a la que fue en el servidor de la organización de microfinanzas “Zaimograd”. Luego, mediante la búsqueda, fue posible obtener 36763 contratos que contenían los datos completos de los pasaportes de los clientes de la organización.
Como indiqué desde el principio, los empleados de Doctor Near mostraron un verdadero profesionalismo y, a pesar de que les informé sobre la vulnerabilidad a las 23:00 (hora de Moscú), el acceso a mi cuenta personal se cerró inmediatamente para todos, y a la 1: 00 (hora de Moscú), esta vulnerabilidad ha sido solucionada.
No puedo evitar patear una vez más el departamento de relaciones públicas del mismo DOC+ (New Medicine LLC). Declarando "Una pequeña cantidad de datos se puso temporalmente a disposición del público.“, pierden de vista que tenemos a nuestra disposición datos de “control objetivo”, concretamente el motor de búsqueda Shodan. Como se señaló correctamente en los comentarios a ese artículo, según Shodan, la fecha de la primera fijación del servidor ClickHouse abierto en la dirección IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, fecha de la última fijación: 52/ 00/40 XNUMX:XNUMX:XNUMX. El tamaño de la base de datos es de unos XNUMX GB.
Hubo 15 fijaciones en total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00De la declaración se desprende que temporalmente es un poco más de un mes, pero pequeña cantidad de datos esto es aproximadamente 40 gigabytes. Bueno no lo sé…
Pero volvamos a "El doctor está cerca".
Por el momento, mi paranoia profesional se ve atormentada por un único problema menor: mediante la respuesta del servidor se puede averiguar el número de informes en el sistema. Cuando intenta obtener un informe desde una URL a la que no se puede acceder (pero el informe en sí está disponible), el servidor devuelve ACCESO DENEGADO, y cuando intenta obtener un informe que no existe, devuelve EXTRAVIADO. Al monitorear el aumento en la cantidad de informes en el sistema a lo largo del tiempo (una vez por semana, mes, etc.), puede evaluar la carga de trabajo del servicio y el volumen de servicios prestados. Esto, por supuesto, no viola los datos personales de pacientes y médicos, pero puede ser una violación de los secretos comerciales de la empresa.
Fuente: habr.com