Il y a quelques jours à peine, j'ai sur Habré sur la façon dont le service médical en ligne russe DOC+ a réussi à laisser dans le domaine public une base de données avec des journaux d'accès détaillés, à partir de laquelle les données des patients et des employés du service pouvaient être obtenues. Et voici un nouvel incident, avec un autre service russe qui propose aux patients des consultations en ligne avec des médecins - « Doctor Near » (www.drclinics.ru).
J'écris tout de suite que grâce à l'adéquation du personnel de Doctor is Near, la vulnérabilité a été rapidement (2 heures à partir du moment de la notification la nuit !) éliminée et il n'y a très probablement pas eu de fuite de données personnelles et médicales. Contrairement à l'incident DOC+, où je sais avec certitude qu'au moins un fichier json contenant des données, d'une taille de 3.5 Go, s'est retrouvé dans le « monde ouvert », et la position officielle ressemble à ceci : «Une petite quantité de données est temporairement devenue publique, ce qui ne peut entraîner de conséquences négatives pour les employés et les utilisateurs du service DOC+.«.
Avec moi, en tant que propriétaire de la chaîne Telegram "", un abonné anonyme a contacté et signalé une vulnérabilité potentielle sur le site www.drclinics.ru.
L'essence de la vulnérabilité était que, connaissant l'URL et étant dans le système sous votre compte, vous pouviez consulter les données d'autres patients.
Pour créer un nouveau compte dans le système Doctor Near, vous n'avez en fait besoin que d'un numéro de téléphone portable auquel un SMS de confirmation est envoyé, afin que personne ne puisse avoir de problèmes pour se connecter à son compte personnel.
Une fois connecté à son compte personnel, l'utilisateur pouvait immédiatement, en modifiant l'URL dans la barre d'adresse de son navigateur, consulter des rapports contenant des données personnelles de patients et même des diagnostics médicaux.
Un problème important était que le service utilisait une numérotation continue des rapports et formait déjà une URL à partir de ces numéros :
https://[адрес сайта]/…/…/40261/…
Par conséquent, il suffisait de définir le nombre minimum autorisé (7911) et le maximum (42926 - au moment de la vulnérabilité) pour calculer le nombre total (35015) de rapports dans le système et même (en cas d'intention malveillante) télécharger le tout avec un script simple.
Parmi les données consultables figuraient : le nom complet du médecin et du patient, les dates de naissance du médecin et du patient, les numéros de téléphone du médecin et du patient, le sexe du médecin et du patient, les adresses e-mail du médecin et du patient, la spécialisation du médecin. , date de consultation, coût de la consultation et dans certains cas même diagnostic (en commentaire du rapport).
Cette vulnérabilité est essentiellement très similaire à celle qui a été sur le serveur de l'organisation de microfinance « Zaimograd ». Ensuite, en effectuant une recherche, il a été possible d’obtenir 36763 XNUMX contrats contenant les données complètes du passeport des clients de l’organisation.
Comme je l'ai indiqué dès le début, les employés de Doctor Near ont fait preuve d'un réel professionnalisme et malgré le fait que je les ai informés de la vulnérabilité à 23h00 (heure de Moscou), l'accès à mon compte personnel a été immédiatement fermé à tout le monde, et à 1h00 : XNUMX (heure de Moscou), cette vulnérabilité a été corrigée.
Je ne peux m'empêcher de donner un coup de pied une fois de plus au service des relations publiques du même DOC+ (New Medicine LLC). Déclarer "Une petite quantité de données a été temporairement rendue publique», ils perdent de vue que nous disposons de données de « contrôle objectif », à savoir le moteur de recherche Shodan. Comme indiqué à juste titre dans les commentaires de cet article - selon Shodan, la date de la première fixation du serveur ClickHouse ouvert sur l'adresse IP DOC+ : 15.02.2019/03/08 00:17.03.2019:09, date de la dernière fixation : 52/ 00/40 XNUMX:XNUMX:XNUMX. La taille de la base de données est d'environ XNUMX Go.
Il y a eu 15 fixations au total :
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00De la déclaration, il ressort que temporairement ça fait un peu plus d'un mois, mais petite quantité de données cela représente environ 40 gigaoctets. Eh bien, je ne sais pas…
Mais revenons à « Le docteur est à proximité ».
Pour le moment, ma paranoïa professionnelle n'est hantée que par un seul problème mineur : grâce à la réponse du serveur, vous pouvez connaître le nombre de rapports dans le système. Lorsque vous essayez d'obtenir un rapport à partir d'une URL qui n'est pas accessible (mais le rapport lui-même est disponible), le serveur renvoie ACCÈS REFUSÉ, et lorsque vous essayez d'obtenir un rapport qui n'existe pas, il renvoie PAS TROUVÉ. En surveillant l'augmentation du nombre de rapports dans le système au fil du temps (une fois par semaine, par mois, etc.), vous pouvez évaluer la charge de travail du service et le volume des services fournis. Bien entendu, cela ne porte pas atteinte aux données personnelles des patients et des médecins, mais cela peut constituer une violation des secrets commerciaux de l’entreprise.
Source: habr.com