Alles paar päeva tagasi ma on Habré, kuidas Venemaa online-meditsiiniteenistus DOC+ suutis avalikku omandisse jätta üksikasjalike juurdepääsulogidega andmebaas, kust sai patsientide ja teenindustöötajate andmeid. Ja siin on uus juhtum teise Venemaa teenusega, mis pakub patsientidele veebipõhiseid arstide konsultatsioone - "Arst läheduses" (www.drclinics.ru).
Panen kohe kirja, et tänu Doctor is Near personali adekvaatsusele likvideeriti haavatavus kiiresti (2 tundi öisest teatamise hetkest!) ning suure tõenäosusega isiku- ja meditsiiniandmete lekkimist ei toimunud. Erinevalt DOC+ juhtumist, kus tean kindlalt, et vähemalt üks 3.5 GB suurune andmetega json-fail sattus “avatud maailma” ja ametlik seisukoht näeb välja selline: “Väike hulk andmeid on ajutiselt avalikult kättesaadavaks muutunud, mis ei saa tuua kaasa negatiivseid tagajärgi DOC+ teenuse töötajatele ja kasutajatele."
Minuga kui Telegrami kanali omanikuga "", võttis anonüümne tellija ühendust ja teatas veebisaidil www.drclinics.ru võimalikust haavatavusest.
Haavatavuse olemus seisnes selles, et teades URL-i ja olles oma konto all olevas süsteemis, saad vaadata teiste patsientide andmeid.
Uue konto registreerimiseks Doctor Nearby süsteemis on tegelikult vaja vaid mobiiltelefoni numbrit, millele saadetakse kinnitus SMS, nii et isiklikule kontole sisselogimisel ei saaks kellelgi probleeme tekkida.
Pärast oma isiklikule kontole sisselogimist sai ta brauseri aadressiribal URL-i muutes koheselt vaadata aruandeid, mis sisaldavad patsientide isikuandmeid ja isegi meditsiinilisi diagnoose.
Oluliseks probleemiks oli see, et teenus kasutab pidevat aruannete nummerdamist ja moodustab nendest numbritest juba URL-i:
https://[адрес сайта]/…/…/40261/…
Seetõttu piisas minimaalse lubatud arvu (7911) ja maksimumi (42926 - haavatavuse ajal) määramisest, et arvutada süsteemis olevate aruannete koguarv (35015) ja isegi (pahatahtliku kavatsuse korral) alla laadida. need kõik lihtsa skriptiga.
Vaatamiseks olid saadaval järgmised andmed: arsti ja patsiendi täisnimi, arsti ja patsiendi sünniajad, arsti ja patsiendi telefoninumbrid, arsti ja patsiendi sugu, arsti ja patsiendi e-posti aadressid, arsti eriala. , konsultatsiooni kuupäev, konsultatsiooni maksumus ja mõnel juhul isegi diagnoos ( aruande kommentaarina).
See haavatavus on sisuliselt väga sarnane varasemaga mikrokrediidiorganisatsiooni Zaimograd serveris. Seejärel õnnestus otsides saada 36763 XNUMX lepingut, mis sisaldasid organisatsiooni klientide täielikke passiandmeid.
Nagu algusest peale märkisin, näitasid Doctor Nearby töötajad tõelist professionaalsust ja hoolimata sellest, et teavitasin neid haavatavusest kell 23:00 (Moskva aja järgi), suleti juurdepääs minu isiklikule kontole kohe kõigile ja kell 1: 00 (Moskva aja järgi) on see haavatavus parandatud.
Ma ei saa muud üle, kui löön uuesti sama DOC+ (New Medicine LLC) PR-osakonda. deklareerimine "Väike hulk andmeid tehti ajutiselt avalikult kättesaadavaks", kaotavad nad silmist tõsiasja, et meie käsutuses on "objektiivse kontrolli" andmed, nimelt Shodani otsingumootor. Nagu selle artikli kommentaarides õigesti märgitud - Shodani sõnul avatud ClickHouse serveri esmase fikseerimise kuupäev DOC+ IP-aadressil: 15.02.2019/03/08 00:17.03.2019:09, viimase fikseerimise kuupäev: 52/ 00/40 XNUMX:XNUMX:XNUMX. Andmebaasi suurus on umbes XNUMX GB.
Kokku oli 15 fikseerimist:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Avaldusest selgub, et ajutiselt sellest on veidi üle kuu, aga väike andmemaht see on umbes 40 gigabaiti. No ma ei tea…
Kuid pöördume tagasi "Arst on lähedal".
Hetkel kummitab minu ametialast paranoiat vaid üks alles jäänud pisiprobleem – serveri vastuse järgi saad teada süsteemis olevate teadete arvu. Kui proovite hankida aruannet URL-ilt, millele pole juurdepääsetav (kuid aruanne ise on saadaval), naaseb server LIGIPÄÄS KEELATUDja kui proovite saada aruannet, mida pole olemas, naaseb see EI LEITUD. Jälgides aruannete arvu suurenemist süsteemis ajas (kord nädalas, kuus jne), saate hinnata teenuse töökoormust ja osutatavate teenuste mahtu. See muidugi ei riku patsientide ja arstide isikuandmeid, kuid see võib olla ettevõtte ärisaladuste rikkumine.
Allikas: www.habr.com