همین چند روز پیش من در Habré در مورد اینکه چگونه سرویس پزشکی آنلاین روسی DOC+ توانست یک پایگاه داده با گزارش های دسترسی دقیق را در دامنه عمومی بگذارد، که از آن می توان داده های بیماران و کارکنان خدمات را به دست آورد. و اینجا یک حادثه جدید است، با یکی دیگر از خدمات روسی که به بیماران مشاوره آنلاین با پزشکان ارائه می دهد - "Doctor Nearby" (www.drclinics.ru).
بلافاصله می نویسم که به لطف کفایت پرسنل Doctor is Near، آسیب پذیری به سرعت (2 ساعت از لحظه اطلاع رسانی در شب!) برطرف شد و به احتمال زیاد هیچ گونه نشت اطلاعات شخصی و پزشکی وجود نداشت. برخلاف رویداد DOC+، که من مطمئناً میدانم که حداقل یک فایل json با داده، با حجم 3.5 گیگابایت، به "دنیای باز" ختم شده است، و موقعیت رسمی به این صورت است:مقدار کمی از داده ها به طور موقت در دسترس عموم قرار گرفته است، که نمی تواند منجر به عواقب منفی برای کارمندان و کاربران سرویس DOC+ شود.".
با من به عنوان صاحب کانال تلگرام ""، یک مشترک ناشناس تماس گرفت و یک آسیب پذیری احتمالی را در وب سایت www.drclinics.ru گزارش کرد.
ماهیت آسیبپذیری این بود که با دانستن URL و قرار گرفتن در سیستم زیر حساب خود، میتوانید دادههای سایر بیماران را مشاهده کنید.
برای ثبت حساب جدید در سامانه دکتر نزدیکی، در واقع فقط به یک شماره تلفن همراه نیاز دارید که پیامک تأیید به آن ارسال می شود، بنابراین هیچ کس برای ورود به حساب شخصی خود مشکلی نخواهد داشت.
پس از اینکه کاربر وارد حساب شخصی خود شد، میتوانست بلافاصله با تغییر URL در نوار آدرس مرورگر خود، گزارشهای حاوی اطلاعات شخصی بیماران و حتی تشخیصهای پزشکی را مشاهده کند.
یک مشکل مهم این بود که این سرویس از شماره گذاری مداوم گزارش ها استفاده می کند و قبلاً یک URL از این اعداد تشکیل می دهد:
https://[адрес сайта]/…/…/40261/…
بنابراین کافی بود حداقل عدد مجاز (7911) و حداکثر (42926 - در زمان آسیبپذیری) را تنظیم کنید تا تعداد کل (35015) گزارشهای موجود در سیستم محاسبه شود و حتی (در صورت وجود قصد مخرب) دانلود شود. همه آنها با یک اسکریپت ساده
از جمله داده های موجود برای مشاهده عبارتند از: نام کامل پزشک و بیمار، تاریخ تولد پزشک و بیمار، شماره تلفن پزشک و بیمار، جنسیت پزشک و بیمار، آدرس ایمیل پزشک و بیمار، تخصص پزشک. ، تاریخ مشاوره، هزینه مشاوره و در برخی موارد حتی تشخیص (به عنوان نظر گزارش).
این آسیب پذیری اساساً بسیار شبیه به آسیب پذیری قبلی است در سرور سازمان مالی خرد "Zaimograd". سپس با جستجو، 36763 قرارداد حاوی اطلاعات کامل گذرنامه مشتریان سازمان به دست آمد.
همانطور که از همان ابتدا اشاره کردم، کارمندان Doctor Nearby حرفه ای واقعی نشان دادند و علیرغم اینکه در ساعت 23:00 (به وقت مسکو) آسیب پذیری را به آنها اطلاع دادم، دسترسی به حساب شخصی من بلافاصله برای همه بسته شد و تا 1: 00 (به وقت مسکو) این آسیب پذیری رفع شده است.
من نمی توانم یک بار دیگر به بخش روابط عمومی همان DOC+ (New Medicine LLC) ضربه نزنم. اعلام "مقدار کمی از داده ها به طور موقت در دسترس عموم قرار گرفتآنها از این واقعیت غافل می شوند که ما داده های «کنترل عینی» را در اختیار داریم، یعنی موتور جستجوی شودان. همانطور که در نظرات آن مقاله به درستی ذکر شد - طبق گفته شدان، تاریخ اولین تثبیت سرور باز ClickHouse در آدرس IP DOC+: 15.02.2019/03/08 ساعت 00:17.03.2019:09، تاریخ آخرین تثبیت: 52/ 00/40 XNUMX:XNUMX:XNUMX. حجم دیتابیس حدود XNUMX گیگابایت است.
در کل 15 تثبیت وجود داشت:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00از بیانیه چنین بر می آید که به طور موقت کمی بیشتر از یک ماه است، اما مقدار کمی داده این تقریباً 40 گیگابایت است. خب من نمی دانم…
اما بیایید به «دکتر نزدیک است» برگردیم.
در حال حاضر، پارانویای حرفه ای من تنها با یک مشکل جزئی باقی مانده است - با پاسخ سرور می توانید تعداد گزارش ها را در سیستم پیدا کنید. هنگامی که سعی می کنید از یک URL که در دسترس نیست گزارشی دریافت کنید (اما خود گزارش در دسترس است)، سرور برمی گرداند. ACCESS_DENIED، و هنگامی که می خواهید گزارشی را دریافت کنید که وجود ندارد، آن گزارش برمی گردد پیدا نشد. با نظارت بر افزایش تعداد گزارشات در سیستم در طول زمان (یک بار در هفته، ماه و ...) می توانید حجم کار سرویس و حجم خدمات ارائه شده را ارزیابی کنید. این، البته، اطلاعات شخصی بیماران و پزشکان را نقض نمی کند، اما ممکن است نقض اسرار تجاری شرکت باشد.
منبع: www.habr.com