फिर से हैलो! मुझे फिर से आपके लिए मेडिकल डेटा वाला एक खुला डेटाबेस मिला है। मैं आपको याद दिला दूं कि हाल ही में इस विषय पर मेरे तीन लेख आए थे: , и .
इस बार, प्रयोगशाला नेटवर्क के मेडिकल आईटी सिस्टम से लॉग के साथ इलास्टिक्स खोज सर्वर सार्वजनिक रूप से उपलब्ध था।आणविक निदान केंद्र"(सीएमडी, www.cmd-online.ru)।
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
सर्वर 1 अप्रैल की सुबह खोजा गया था और यह मुझे बिल्कुल भी अजीब नहीं लगा। समस्या के बारे में एक सूचना सीएमडी को सुबह लगभग 10 बजे (मास्को समयानुसार) गई और लगभग 15:00 बजे डेटाबेस अप्राप्य हो गया।
Shodan सर्च इंजन के अनुसार, यह सर्वर पहली बार 09.03.2019/XNUMX/XNUMX को सार्वजनिक रूप से उपलब्ध कराया गया था। उसके बारे में , मैंने एक अलग लेख लिखा।
लॉग से बहुत संवेदनशील जानकारी प्राप्त की जा सकती है, जिसमें शामिल हैं पूरा नाम, लिंग, मरीज़ों की जन्मतिथि, डॉक्टरों का पूरा नाम, शोध की लागत, शोध डेटा, स्क्रीनिंग परिणामों वाली फ़ाइलें И многое другое
रोगी परीक्षण परिणामों वाले लॉग का उदाहरण:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///मैंने सभी संवेदनशील डेटा को "X" से भर दिया है। हकीकत में सबकुछ खुला रखा गया था.
ऐसे लॉग से स्क्रीनिंग परिणामों के साथ पीएनजी फाइलें प्राप्त करना आसान था (बेस64 से परिवर्तित करके), पहले से ही पढ़ने में आसान रूप में:
लॉग का कुल आकार 400 एमबी से अधिक था और कुल मिलाकर उनमें दस लाख से अधिक प्रविष्टियाँ थीं। यह स्पष्ट है कि प्रत्येक रिकॉर्ड अद्वितीय रोगी डेटा का प्रतिनिधित्व नहीं करता है।
सीएमडी की आधिकारिक प्रतिक्रिया:
हम इलास्टिक्स खोज त्रुटि लॉगिंग और स्टोरेज डेटाबेस में भेद्यता की उपस्थिति के बारे में 01.04.2019 अप्रैल, XNUMX को तुरंत जानकारी प्रसारित करने के लिए आपको धन्यवाद देना चाहते हैं।
इस जानकारी के आधार पर, हमारे कर्मचारियों ने, संबंधित विशेषज्ञों के साथ मिलकर, निर्दिष्ट डेटाबेस तक पहुंच सीमित कर दी। गोपनीय जानकारी को तकनीकी डेटाबेस में स्थानांतरित करने में त्रुटि को ठीक कर दिया गया है।
घटना के विश्लेषण के दौरान, यह पता लगाना संभव था कि सार्वजनिक डोमेन में त्रुटि लॉग के साथ निर्दिष्ट डेटाबेस की उपस्थिति मानव कारक से संबंधित एक कारण के कारण थी। 01.04.2019/XNUMX/XNUMX को डेटा तक पहुंच तुरंत बंद कर दी गई।
फिलहाल, आंतरिक और बाहरी विशेषज्ञ डेटा सुरक्षा के लिए आईटी बुनियादी ढांचे के अतिरिक्त ऑडिट के उपाय कर रहे हैं।
हमारे संगठन ने व्यक्तिगत डेटा के साथ काम करने के लिए विशेष नियम और कार्मिक जिम्मेदारी के स्तर की एक प्रणाली विकसित की है।
वर्तमान सॉफ़्टवेयर अवसंरचना त्रुटियों को संग्रहीत करने के लिए इलास्टिक्स खोज डेटाबेस का उपयोग करती है। कुछ प्रणालियों की विश्वसनीयता में सुधार करने के लिए, संबंधित सर्वर को हमारे भागीदार के डेटा सेंटर, प्रमाणित सॉफ़्टवेयर और हार्डवेयर वातावरण में स्थानांतरित कर दिया जाएगा।
समय पर जानकारी उपलब्ध कराने के लिए धन्यवाद.
सूचना लीक और अंदरूनी सूत्रों के बारे में समाचार हमेशा मेरे टेलीग्राम चैनल पर पाए जा सकते हैं।'.
स्रोत: www.habr.com