Krekt in pear dagen lyn ik op Habré oer hoe't de Russyske online medyske tsjinst DOC+ it slagge om in databank te ferlitten mei detaillearre tagongslogboeken yn it publike domein, wêrfan gegevens fan pasjinten en tsjinstmeiwurkers krigen wurde kinne. En hjir is in nij ynsidint, mei in oare Russyske tsjinst dy't pasjinten online oerlis mei dokters leveret - "Doctor Nearby" (www.drclinics.ru).
Ik sil daliks skriuwe dat troch de adekwaatheid fan it personiel fan Doctor is Near, de kwetsberens fluch (2 oeren fan it momint fan 'e notifikaasje nachts!) waard elimineare en nei alle gedachten wie d'r gjin lek fan persoanlike en medyske gegevens. Oars as it DOC+-ynsidint, wêr't ik wis wit dat op syn minst ien json-bestân mei gegevens, 3.5 GB yn grutte, einige yn 'e "iepen wrâld", en de offisjele posysje sjocht der sa út: "In lytse hoemannichte gegevens is tydlik iepenbier beskikber wurden, wat net liede kin ta negative gefolgen foar meiwurkers en brûkers fan de DOC+ tsjinst.".
Mei my, as de eigner fan it Telegram-kanaal "", naam in anonime abonnee kontakt op en rapportearre in mooglike kwetsberens op 'e webside www.drclinics.ru.
De essinsje fan 'e kwetsberens wie dat, troch de URL te kennen en yn it systeem ûnder jo akkount te wêzen, jo de gegevens fan oare pasjinten koene besjen.
Om in nij akkount te registrearjen yn it Doctor Nearby-systeem, hawwe jo eins allinich in mobyl tillefoannûmer nedich wêr't in befêstigings-SMS nei stjoerd wurdt, sadat gjinien problemen koe hawwe om yn te loggen op har persoanlike akkount.
Nei't de brûker ynlogd wie op syn persoanlike akkount, koe hy fuortendaliks, troch it feroarjen fan de URL yn 'e adresbalke fan syn browser, rapporten besjen mei persoanlike gegevens fan pasjinten en sels medyske diagnoaze.
In wichtich probleem wie dat de tsjinst trochgeande nûmering fan rapporten brûkt en al in URL foarmet fan dizze nûmers:
https://[адрес сайта]/…/…/40261/…
Dêrom wie it genôch om it minimum tastiene oantal (7911) en it maksimum (42926 - op 'e tiid fan' e kwetsberens) yn te stellen om it totale oantal (35015) rapporten yn it systeem te berekkenjen en sels (as der kweade bedoelingen wie) te downloaden se allegearre mei in ienfâldich skript.
Under de gegevens beskikber foar besjen wiene: folsleine namme fan 'e dokter en pasjint, bertedatums fan' e dokter en pasjint, telefoannûmers fan 'e dokter en pasjint, geslacht fan' e dokter en pasjint, e-mailadressen fan 'e dokter en pasjint, spesjalisaasje fan dokter , datum fan oerlis, kosten fan oerlis en yn guon gefallen sels diagnoaze (as kommentaar op it rapport).
Dizze kwetsberens is yn wêzen heul gelyk oan dyjinge dy't wie op 'e tsjinner fan' e mikrofinânsjeorganisaasje "Zaimograd". Dan, troch te sykjen, wie it mooglik om 36763 kontrakten te krijen mei de folsleine paspoartgegevens fan 'e kliïnten fan' e organisaasje.
Lykas ik fan it begjin ôf oanjoech, lieten de meiwurkers fan Doctor Nearby echte profesjonaliteit sjen en nettsjinsteande it feit dat ik har ynformearre oer de kwetsberens om 23:00 (Moskou-tiid), waard tagong ta myn persoanlike akkount fuortendaliks foar elkenien sluten, en troch 1: 00 (Moskou tiid) dizze kwetsberens is reparearre.
Ik kin it net helpe, mar nochris de PR-ôfdieling fan deselde DOC+ (New Medicine LLC) te skoppen. Ferklearje"In lytse hoemannichte gegevens waard tydlik iepenbier beskikber steld", se ferlieze it feit út it each dat wy gegevens "objektive kontrôle" ta ús beskikking hawwe, nammentlik de Shodan-sykmasine. Lykas korrekt opmurken yn 'e opmerkingen by dat artikel - neffens Shodan, de datum fan' e earste fixaasje fan 'e iepen ClickHouse-tsjinner op it DOC+ IP-adres: 15.02.2019/03/08 00:17.03.2019:09, datum fan 'e lêste fixaasje: 52/ 00/40 XNUMX:XNUMX:XNUMX. De databankgrutte is sawat XNUMX GB.
D'r wiene yn totaal 15 fixaasjes:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Ut de ferklearring docht bliken dat tydlik it is in bytsje mear as in moanne, mar lytse hoemannichte gegevens dit is likernôch 40 gigabytes. No, ik wit it net...
Mar litte wy weromgean nei "De dokter is tichtby."
Op it stuit, myn profesjonele paranoia wurdt efterfolge troch mar ien oerbleaune lyts probleem - troch de tsjinner antwurd kinne jo fine út it oantal rapporten yn it systeem. As jo besykje in rapport te krijen fan in URL dy't net tagonklik is (mar it rapport sels is beskikber), komt de tsjinner werom TAGONG WEGERE, en as jo besykje in rapport te krijen dat net bestiet, komt it werom NET FÛN. Troch de ferheging fan it oantal rapporten yn it systeem yn 'e rin fan' e tiid te kontrolearjen (ien kear yn 'e wike, moanne, ensfh.), Jo kinne de wurkdruk fan' e tsjinst en it folume fan oanbeane tsjinsten beoardielje. Dit skeelt fansels net de persoanlike gegevens fan pasjinten en dokters, mar it kin in ynbreuk wêze op de hannelsgeheimen fan it bedriuw.
Boarne: www.habr.com