Díreach cúpla lá ó shin mé ar Habré faoin gcaoi ar éirigh le seirbhís leighis ar líne na Rúise DOC+ bunachar sonraí a fhágáil ina raibh logaí mionsonraithe rochtana san fhearann poiblí, óna bhféadfaí sonraí othar agus fostaithe seirbhíse a fháil. Agus seo eachtra nua, le seirbhís Rúisis eile a sholáthraíonn othair le comhairliúcháin ar líne le dochtúirí - "Dochtúir in aice láimhe" (www.drclinics.ru).
Scríobhfaidh mé ar an bpointe boise gur cuireadh deireadh go tapa leis an leochaileacht (2 uair ón bhfógra san oíche!) a bhuíochas le leordhóthanacht fhoireann Doctor is Near, agus is dócha nach raibh aon sceitheadh sonraí pearsanta agus leighis ann. Murab ionann agus an eachtra DOC+, áit a bhfuil a fhios agam go cinnte go raibh ar a laghad comhad json amháin le sonraí, 3.5 GB i méid, dar críoch suas sa “domhan oscailte”, agus tá an chuma ar an suíomh oifigiúil mar seo: “Tá líon beag sonraí curtha ar fáil go poiblí go sealadach, rud nach féidir le hiarmhairtí diúltacha a bheith ann d’fhostaithe agus d’úsáideoirí na seirbhíse DOC+.".
Le liom, mar úinéir an chainéil Telegram "", rinne suibscríobhaí gan ainm teagmháil agus thuairiscigh sé leochaileacht féideartha ar an láithreán gréasáin www.drclinics.ru.
Ba é croílár na leochaileachta ná go bhféadfá sonraí othar eile a fheiceáil, agus an URL ar eolas agat agus a bheith sa chóras faoi do chuntas.
Chun cuntas nua a chlárú sa chóras Dochtúir In aice láimhe, níl uait ach uimhir theileafóin phóca a seoltar SMS deimhnithe chuici, agus mar sin ní fhéadfadh fadhb ar bith a bheith ag éinne logáil isteach ina chuntas pearsanta.
Tar éis don úsáideoir logáil isteach ina chuntas pearsanta, d'fhéadfadh sé láithreach, tríd an URL a athrú i mbarra seoltaí a bhrabhsálaí, féachaint ar thuarascálacha ina bhfuil sonraí pearsanta othar agus fiú diagnóisí leighis.
Fadhb shuntasach a bhí ann go n-úsáideann an tseirbhís uimhriú leanúnach tuairiscí agus go ndéanann sí URL ó na huimhreacha seo cheana féin:
https://[адрес сайта]/…/…/40261/…
Mar sin, ba leor an t-íoslíon ceadaithe (7911) agus an t-uasmhéid (42926 - tráth an leochaileachta) a shocrú chun líon iomlán na dtuarascálacha (35015) sa chóras a ríomh agus fiú (má bhí rún mailíseach ann) íoslódáil. iad go léir le script shimplí.
I measc na sonraí a bhí ar fáil le breathnú bhí: ainm iomlán an dochtúir agus an othair, dátaí breithe an dochtúir agus an othair, uimhreacha gutháin an dochtúir agus an othair, inscne an dochtúir agus an othair, seoltaí ríomhphoist an dochtúir agus an othair, speisialtóireacht an dochtúra , dáta an chomhairliúcháin, costas an chomhairliúcháin agus i gcásanna áirithe fiú diagnóis (mar thrácht ar an tuarascáil).
Go bunúsach tá an leochaileacht seo an-chosúil leis an gceann a bhí ar fhreastalaí na heagraíochta micrea-airgeadais “Zaimograd”. Ansin, trí chuardach, bhíothas in ann 36763 conradh a fháil ina raibh sonraí pas iomlán chliaint na heagraíochta.
Mar a thug mé le fios ón tús, léirigh fostaithe Dochtúir In aice láimhe gairmiúlacht fíor agus in ainneoin gur chuir mé in iúl dóibh faoin leochaileacht ag 23:00 (am Moscó), bhí rochtain ar mo chuntas pearsanta dúnta láithreach do gach duine, agus faoi 1: 00 (am Moscó) tá an leochaileacht seo socraithe.
Ní féidir liom cabhrú ach an roinn PR den DOC+ céanna (New Medicine LLC) a chiceáil arís. Ag dearbhú "Cuireadh méid beag sonraí ar fáil go poiblí go sealadach“, ní chailleann siad radharc ar an bhfíric go bhfuil sonraí “rialú oibiachtúil” ar fáil dúinn, is é sin inneall cuardaigh Shodan. Mar a tugadh faoi deara i gceart sna tuairimí leis an alt sin - de réir Shodan, dáta an chéad shocrú ar an bhfreastalaí ClickHouse oscailte ar an seoladh IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, dáta an tsocraithe deiridh: 52/ 00/40 XNUMX:XNUMX:XNUMX. Tá méid an bhunachair sonraí thart ar XNUMX GB.
Bhí 15 socrú san iomlán:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Ón ráiteas is cosúil go bhfuil go sealadach tá sé beagán os cionn míosa, ach méid beag sonraí tá sé seo thart ar 40 ghigibheart. Bhuel níl a fhios agam…
Ach fillfimid ar “Tá an Dochtúir in aice láimhe.”
I láthair na huaire, tá mo pharanóia gairmiúil á ghríosú ag fadhb bheag amháin atá fágtha - is féidir le freagra an fhreastalaí líon na dtuairiscí sa chóras a fháil amach. Nuair a dhéanann tú iarracht tuairisc a fháil ó URL nach bhfuil inrochtana (ach tá an tuairisc féin ar fáil), filleann an freastalaí ACCESS_DENIED, agus nuair a dhéanann tú iarracht tuairisc a fháil nach bhfuil ann, filleann sé NOT_FOUND. Trí mhonatóireacht a dhéanamh ar an méadú ar líon na dtuairiscí sa chóras le himeacht ama (uair sa tseachtain, mí, etc.), is féidir leat ualach oibre na seirbhíse agus méid na seirbhísí a chuirtear ar fáil a mheas. Ar ndóigh, ní sháraíonn sé seo sonraí pearsanta othar agus dochtúirí, ach d’fhéadfadh sé a bheith ina shárú ar rúin trádála na cuideachta.
Foinse: will.com