Vain pari päivää sitten minä Habrelle siitä, kuinka venäläinen online-sairaanhoitopalvelu DOC+ onnistui jättämään julkisuuteen tietokannan, jossa oli yksityiskohtaiset pääsylokit, josta saatiin tietoa potilaista ja palvelun työntekijöistä. Ja tässä on uusi tapaus, jossa on toinen venäläinen palvelu, joka tarjoaa potilaille online-konsultaatioita lääkäreiden kanssa - "Lääkäri lähellä" (www.drclinics.ru).
Kirjoitan heti, että Doctor is Near -henkilöstön riittävyyden ansiosta haavoittuvuus saatiin nopeasti (2 tuntia ilmoituksen tekemisestä yöllä!) poistettu, eikä henkilö- ja lääketieteellisiä tietoja todennäköisesti vuotanut. Toisin kuin DOC+-tapauksessa, jossa tiedän varmasti, että ainakin yksi 3.5 Gt:n kokoinen json-tiedosto päätyi "avoimeen maailmaan", ja virallinen kanta näyttää tältä: "Pieni määrä dataa on väliaikaisesti tullut julkisesti saataville, mikä ei voi aiheuttaa kielteisiä seurauksia työntekijöille ja DOC+ -palvelun käyttäjille.".
Minun kanssani Telegram-kanavan omistajana "", anonyymi tilaaja otti yhteyttä ja ilmoitti mahdollisesta haavoittuvuudesta verkkosivulla www.drclinics.ru.
Haavoittuvuuden ydin oli, että tietäen URL-osoitteen ja ollessasi tilisi alla olevassa järjestelmässä pystyit tarkastelemaan muiden potilaiden tietoja.
Uuden tilin rekisteröimiseksi Doctor Nearby -järjestelmään tarvitset itse asiassa vain matkapuhelinnumeron, johon lähetetään vahvistustekstiviesti, joten kenelläkään ei voi olla ongelmia kirjautua sisään henkilökohtaiselle tililleen.
Kun käyttäjä oli kirjautunut henkilökohtaiseen tiliinsä, hän saattoi välittömästi vaihtamalla URL-osoitteen selaimensa osoiteriville, tarkastella potilaiden henkilötietoja ja jopa lääketieteellisiä diagnooseja sisältäviä raportteja.
Merkittävä ongelma oli, että palvelu käyttää jatkuvaa raporttien numerointia ja muodostaa jo URL-osoitteen näistä numeroista:
https://[адрес сайта]/…/…/40261/…
Siksi riitti asettaa pienin sallittu määrä (7911) ja enimmäismäärä (42926 - haavoittuvuuden hetkellä) laskemaan järjestelmässä olevien raporttien kokonaismäärä (35015) ja jopa (jos oli haitallista tarkoitusta) lataus. ne kaikki yksinkertaisella käsikirjoituksella.
Katsottavissa olevia tietoja olivat muun muassa lääkärin ja potilaan koko nimi, lääkärin ja potilaan syntymäaika, lääkärin ja potilaan puhelinnumerot, lääkärin ja potilaan sukupuoli, lääkärin ja potilaan sähköpostiosoitteet, lääkärin erikoisala , konsultaatiopäivämäärä, konsultaation kustannukset ja joissakin tapauksissa jopa diagnoosi (raportin kommenttina).
Tämä haavoittuvuus on pohjimmiltaan hyvin samanlainen kuin se, joka oli mikrorahoitusorganisaation "Zaimograd" palvelimella. Sitten haun avulla saatiin 36763 XNUMX sopimusta, jotka sisälsivät organisaation asiakkaiden täydelliset passitiedot.
Kuten alusta alkaen totesin, Doctor Nearbyn työntekijät osoittivat todellista ammattitaitoa ja huolimatta siitä, että ilmoitin heille haavoittuvuudesta klo 23:00 (Moskovan aikaa), pääsy henkilökohtaiselle tililleni suljettiin välittömästi kaikilta, ja klo 1:00 mennessä: XNUMX (Moskovan aikaa) tämä haavoittuvuus on korjattu.
En voi olla potkimatta jälleen kerran saman DOC+:n (New Medicine LLC) PR-osastolle. julistaa "Pieni määrä dataa asetettiin väliaikaisesti julkisesti saataville", he unohtavat sen tosiasian, että meillä on käytössämme "objektiivisen hallinnan" tiedot, nimittäin Shodan-hakukone. Kuten artikkelin kommenteissa oikein mainittiin - Shodanin mukaan avoimen ClickHouse-palvelimen ensimmäinen kiinnityspäivä DOC+ IP-osoitteeseen: 15.02.2019/03/08 00:17.03.2019:09, viimeisen kiinnityksen päivämäärä: 52/ 00/40 XNUMX:XNUMX:XNUMX. Tietokannan koko on noin XNUMX Gt.
Kiinnitystä oli yhteensä 15:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Lausunnosta käy ilmi väliaikaisesti siitä on vähän yli kuukausi, mutta pieni määrä dataa tämä on noin 40 gigatavua. No en tiedä…
Mutta palataanpa kohtaan "Lääkäri on lähellä".
Tällä hetkellä ammatillista vainoharhaisuuttani ahdistaa vain yksi jäljellä oleva pieni ongelma - palvelimen vastauksesta saat selville järjestelmässä olevien ilmoitusten määrän. Kun yrität saada raportin URL-osoitteesta, joka ei ole käytettävissä (mutta itse raportti on saatavilla), palvelin palaa PÄÄSY EVÄTTY, ja kun yrität saada raportin, jota ei ole olemassa, se palaa EI LÖYDETTY. Seuraamalla raporttien määrän kasvua järjestelmässä ajan myötä (kerran viikossa, kuukaudessa jne.) voit arvioida palvelun työmäärää ja tarjottujen palveluiden määrää. Tämä ei tietenkään loukkaa potilaiden ja lääkäreiden henkilötietoja, mutta se voi loukata yrityksen liikesalaisuuksia.
Lähde: will.com