Hai só un par de días eu sobre Habré sobre como o servizo médico ruso en liña DOC+ conseguiu deixar no dominio público unha base de datos con rexistros de acceso detallados, da que se podían obter datos de pacientes e empregados do servizo. E aquí hai un novo incidente, con outro servizo ruso que ofrece aos pacientes consultas en liña con médicos: "Doctor Nearby" (www.drclinics.ru).
Escribirei de inmediato que grazas á adecuación do persoal de Doctor is Near, a vulnerabilidade eliminouse rapidamente (¡2 horas desde o momento da notificación pola noite!) e moi probablemente non houbese fuga de datos persoais e médicos. A diferenza do incidente DOC+, onde sei con certeza que polo menos un ficheiro json con datos, de 3.5 GB de tamaño, acabou no "mundo aberto", e a posición oficial ten este aspecto: "Unha pequena cantidade de datos quedou temporalmente dispoñible para o público, o que non pode ter consecuencias negativas para os empregados e usuarios do servizo DOC+.«.
Comigo, como propietario da canle de Telegram "", un subscritor anónimo contactou e informou dunha posible vulnerabilidade no sitio web www.drclinics.ru.
A esencia da vulnerabilidade era que, coñecendo a URL e estando no sistema baixo a súa conta, era posible ver os datos doutros pacientes.
Para rexistrar unha nova conta no sistema Doctor Nearby, en realidade só necesitas un número de teléfono móbil ao que se envía unha SMS de confirmación, polo que ninguén podería ter problemas para iniciar sesión na súa conta persoal.
Despois de que o usuario iniciase sesión na súa conta persoal, podía inmediatamente, cambiando a URL na barra de enderezos do seu navegador, ver informes que conteñan datos persoais dos pacientes e mesmo diagnósticos médicos.
Un problema importante foi que o servizo utiliza a numeración continua dos informes e xa forma un URL a partir destes números:
https://[адрес сайта]/…/…/40261/…
Polo tanto, abondou con establecer o número mínimo permitido (7911) e o máximo (42926 - no momento da vulnerabilidade) para calcular o número total (35015) de informes no sistema e mesmo (se houbo intención maliciosa) descarga. todos eles cun sinxelo guión.
Entre os datos dispoñibles para a súa visualización estaban: nome completo do médico e do paciente, datas de nacemento do médico e do paciente, teléfonos do médico e do paciente, sexo do médico e do paciente, enderezos de correo electrónico do médico e do paciente, especialidade do médico. , data de consulta, custo da consulta e nalgúns casos mesmo diagnóstico (como comentario ao informe).
Esta vulnerabilidade é esencialmente moi semellante á que era no servidor da organización de microfinanzas "Zaimograd". Despois, mediante a busca, foi posible obter 36763 contratos que contiñan os datos completos do pasaporte dos clientes da organización.
Como indiquei desde o principio, os empregados de Doctor Nearby mostraron unha verdadeira profesionalidade e, a pesar de que lles informei sobre a vulnerabilidade ás 23:00 horas (hora de Moscova), o acceso á miña conta persoal foi inmediatamente pechado para todos e ata o 1: 00 (hora de Moscova) solucionouse esta vulnerabilidade.
Non podo evitar botar unha vez máis ao departamento de relacións públicas do mesmo DOC+ (New Medicine LLC). Declarando "Unha pequena cantidade de datos púxose a disposición do público temporalmente“, perden de vista que temos datos de “control obxectivo” á nosa disposición, é dicir, o buscador Shodan. Como se indicou correctamente nos comentarios a ese artigo, segundo Shodan, a data da primeira fixación do servidor ClickHouse aberto no enderezo IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data da última fixación: 52/ 00/40 XNUMX:XNUMX:XNUMX. O tamaño da base de datos é duns XNUMX GB.
Houbo 15 fixacións en total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Da declaración despréndese que temporalmente é algo máis dun mes, pero pequena cantidade de datos isto é de aproximadamente 40 gigabytes. Pois non sei...
Pero volvamos a "O doutor está preto".
Polo momento, a miña paranoia profesional está perseguida por só un problema menor que queda: pola resposta do servidor podes saber o número de informes no sistema. Cando tentas obter un informe desde un URL que non é accesible (pero o propio informe está dispoñible), o servidor volve ACCESO DENEGADO, e cando tentas obter un informe que non existe, volve NON ATOPADO. Mediante o seguimento do aumento do número de informes no sistema ao longo do tempo (unha vez á semana, ao mes, etc.), pódese avaliar a carga de traballo do servizo e o volume de servizos prestados. Isto, por suposto, non viola os datos persoais de pacientes e médicos, pero pode ser unha violación dos segredos comerciais da empresa.
Fonte: www.habr.com