Duela pare bat egun ni Habré-ri buruz, DOC+ Errusiako lineako mediku-zerbitzuak domeinu publikoan sarbide-erregistro zehatzak dituen datu-base bat uzteari buruz, pazienteen eta zerbitzuetako langileen datuak lor zitezkeen. Eta hona hemen gertakari berri bat, pazienteei medikuei lineako kontsultak eskaintzen dizkien Errusiako beste zerbitzu batekin - "Doctor Nearby" (www.drclinics.ru).
Berehala idatziko dut Doctor is Near langileen egokitasunari esker, ahultasuna azkar desagerrarazi zela (gaueko jakinarazpen unetik 2 ordu!) eta ziurrenik ez zela datu pertsonal eta medikoen isuririk egon. DOC+ gertakarian ez bezala, non ziur dakidan datuekin gutxienez json fitxategi bat, 3.5 GB-ko tamainakoa, "mundu irekian" amaitu zela, eta posizio ofizialak honela dauka: "Datu kopuru txiki bat jendaurrean jarri da aldi baterako, eta horrek ezin ditu ondorio negatiboak ekarri DOC+ zerbitzuaren langile eta erabiltzaileentzat.".
Nirekin, Telegram kanalaren jabe gisa "", harpidedun anonimo bat harremanetan jarri zen eta ahultasun potentziala jakinarazi zuen www.drclinics.ru webgunean.
Ahultasunaren funtsa zen URLa ezagututa eta zure kontuaren sisteman egonda, beste paziente batzuen datuak ikus ditzakezula.
Doctor Nearby sisteman kontu berri bat erregistratzeko, egia esan, berrespen SMS bat bidaltzen zaion telefono mugikor-zenbaki bat baino ez duzu behar, beraz, inork ez du arazorik izan bere kontu pertsonalean saioa hasteko.
Erabiltzaileak bere kontu pertsonalean saioa hasi ondoren, berehala, bere nabigatzailearen helbide-barrako URLa aldatuz, pazienteen datu pertsonalak eta baita diagnostiko medikoak dituzten txostenak ikusi ahal izango zituen.
Arazo esanguratsu bat zera zen: zerbitzuak txostenen etengabeko zenbaketa erabiltzen duela eta dagoeneko URL bat osatzen duela zenbaki hauetatik:
https://[адрес сайта]/…/…/40261/…
Hori dela eta, nahikoa izan zen baimendutako gutxieneko kopurua (7911) eta gehienezkoa (42926 - ahultasuna gertatu zen unean) ezartzea sistemako txostenen guztizko kopurua (35015) kalkulatzeko eta baita (asmo gaiztoa bazen) deskargatzeko. guztiak gidoi sinple batekin.
Ikusteko zeuden datuen artean honako hauek zeuden: medikuaren eta pazientearen izen-abizenak, medikuaren eta pazientearen jaiotegunak, medikuaren eta pazientearen telefonoak, medikuaren eta pazientearen sexua, medikuaren eta pazientearen helbide elektronikoak, medikuaren espezialitatea. , kontsultaren data, kontsultaren kostua eta kasu batzuetan diagnostikoa ere (txostenaren iruzkin gisa).
Zaurgarritasun hau zenaren oso antzekoa da funtsean "Zaimograd" mikrofinantza erakundearen zerbitzarian. Ondoren, bilatuz, erakundeko bezeroen pasaportearen datu osoa jasotzen duten 36763 kontratu lortu ahal izan dira.
Hasiera-hasieratik adierazi nuen bezala, Doctor Nearby-ko langileek benetako profesionaltasuna erakutsi zuten eta 23:00etan (Moskuko ordua) ahultasunaren berri eman nien arren, nire kontu pertsonalerako sarbidea berehala itxi zitzaien guztiei, eta 1erako: 00 (Moskuko ordua) ahultasun hau konpondu da.
Ezin dut saihestu beste behin DOC+ bereko PR saila (New Medicine LLC). deklaratzen "Datu kopuru txiki bat publikoki eskuragarri jarri zen aldi baterako“, bistatik galtzen dute “kontrol objektiboa” datuak eskura ditugula, Shodan bilatzailea alegia. Artikulu horretako iruzkinetan behar bezala adierazi bezala - Shodanen arabera, irekitako ClickHouse zerbitzariaren DOC+ IP helbidean lehen finkapenaren data: 15.02.2019/03/08 00:17.03.2019:09, azken finkapenaren data: 52/ 00/40/XNUMX:XNUMX:XNUMX. Datu-basearen tamaina XNUMX GB ingurukoa da.
15 finkapen izan ziren guztira:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Adierazpenetik hori ageri da aldi baterako, hilabete pasatxo da, baina datu kopuru txikia hau gutxi gorabehera 40 gigabyte da. Ba ez dakit…
Baina itzul gaitezen "The Doctor Is Nearby"-ra.
Momentuz, nire paranoia profesionala geratzen den arazo txiki bakarrak jasaten du: zerbitzariaren erantzunaren arabera sistemako txostenen kopurua jakin dezakezu. Atzigarria ez den URL batetik (baina txostena bera eskuragarri dago) txosten bat lortzen saiatzen zarenean, zerbitzaria itzultzen da SARRERA DEBEKATUA, eta existitzen ez den txosten bat lortzen saiatzen zarenean, itzultzen da EZ DA AURKITU. Sistemak denboran zehar izan duen gorakada kontrolatuz (astean behin, hilabetean, etab.), zerbitzuaren lan-karga eta emandako zerbitzuen bolumena ebaluatu ditzakezu. Horrek, noski, ez ditu pazienteen eta medikuen datu pertsonalak urratzen, baina baliteke enpresaren sekretu komertzialak urratzea.
Iturria: www.habr.com