Prije samo par dana ja na Habréu o tome kako je ruski online medicinski servis DOC+ uspio u javnoj domeni ostaviti bazu podataka s detaljnim logovima pristupa iz koje se mogu dobiti podaci pacijenata i djelatnika službe. I evo novog incidenta, s još jednom ruskom uslugom koja pacijentima pruža online konzultacije s liječnicima - "Doctor Nearby" (www.drclinics.ru).
Odmah ću napisati da je zahvaljujući adekvatnosti osoblja Doctor is Near, ranjivost brzo (2 sata od trenutka obavijesti noću!) uklonjena i najvjerojatnije nije došlo do curenja osobnih i medicinskih podataka. Za razliku od DOC+ incidenta, gdje pouzdano znam da je barem jedna json datoteka s podacima, veličine 3.5 GB, završila u “otvorenom svijetu”, a službeni stav izgleda ovako: “Manja količina podataka privremeno je postala javno dostupna, što ne može dovesti do negativnih posljedica za zaposlenike i korisnike DOC+ usluge.”.
Sa mnom, kao vlasnikom Telegram kanala "", kontaktirao je anonimni pretplatnik i prijavio potencijalnu ranjivost na web stranici www.drclinics.ru.
Suština ranjivosti bila je u tome što ste, znajući URL i nalazeći se u sustavu pod svojim računom, mogli vidjeti podatke drugih pacijenata.
Za registraciju novog računa u sustavu Doctor Nearby zapravo vam je potreban samo broj mobitela na koji se šalje potvrdni SMS, tako da nitko ne bi mogao imati problema s prijavom na svoj osobni račun.
Nakon što se korisnik prijavio na svoj osobni račun, mogao je odmah, promjenom URL-a u adresnoj traci svog preglednika, pregledati izvješća koja sadrže osobne podatke pacijenata, pa čak i medicinske dijagnoze.
Značajan problem je bio što servis koristi kontinuirano numeriranje izvješća i već formira URL od ovih brojeva:
https://[адрес сайта]/…/…/40261/…
Dakle, bilo je dovoljno postaviti najmanji dopušteni broj (7911) i maksimalni (42926 - u trenutku ranjivosti) kako bi se izračunao ukupan broj (35015) izvještaja u sustavu i čak (ako je bilo zlonamjernih namjera) preuzimanje sve ih jednostavnom skriptom.
Među podacima dostupnim za pregled bili su: puno ime liječnika i pacijenta, datumi rođenja liječnika i pacijenta, telefonski brojevi liječnika i pacijenta, spol liječnika i pacijenta, e-mail adrese liječnika i pacijenta, specijalizacija liječnika , datum konzultacija, trošak konzultacija i u nekim slučajevima čak i dijagnoza (kao komentar na izvješće).
Ova ranjivost je u biti vrlo slična onoj koja je bila na serveru mikrofinancijske organizacije “Zaimograd”. Tada je pretraživanjem bilo moguće dobiti 36763 ugovora koji sadrže pune podatke o putovnicama klijenata organizacije.
Kao što sam naznačio od samog početka, zaposlenici Doctor Nearbyja pokazali su pravi profesionalizam i unatoč činjenici da sam ih obavijestio o ranjivosti u 23:00 (po moskovskom vremenu), pristup mom osobnom računu je odmah zatvoren za sve, a do 1: 00 (po moskovskom vremenu) ova ranjivost je popravljena.
Ne mogu a da još jednom ne udarim PR odjel istog DOC+ (New Medicine LLC). deklariranje "Manja količina podataka privremeno je javno dostupna“, gube iz vida činjenicu da imamo na raspolaganju podatke “objektivne kontrole”, odnosno tražilicu Shodan. Kao što je točno navedeno u komentarima na taj članak - prema Shodanu, datum prve fiksacije otvorenog ClickHouse poslužitelja na DOC+ IP adresi: 15.02.2019/03/08 00:17.03.2019:09, datum posljednje fiksacije: 52/ 00/40 XNUMX:XNUMX:XNUMX. Veličina baze podataka je oko XNUMX GB.
Bilo je ukupno 15 fiksacija:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Iz izjave proizlazi da privremeno prošlo je nešto više od mjesec dana, ali mala količina podataka ovo je otprilike 40 gigabajta. Pa ne znam…
Ali vratimo se na "Doktor je u blizini".
Trenutačno moju profesionalnu paranoju muči samo jedan preostali manji problem - po odgovoru poslužitelja možete saznati broj prijava u sustavu. Kada pokušate dobiti izvješće s URL-a koji nije dostupan (ali je samo izvješće dostupno), poslužitelj vraća PRISTUP ODBIJEN, a kada pokušate dobiti izvješće koje ne postoji, ono se vraća NIJE PRONAĐENO. Prateći povećanje broja prijava u sustavu tijekom vremena (jednom tjedno, mjesečno i sl.), možete procijeniti opterećenost servisa i obujam pruženih usluga. Time se, naravno, ne krše osobni podaci pacijenata i liječnika, ali se može raditi o povredi poslovne tajne tvrtke.
Izvor: www.habr.com