Alig pár napja én Habré-n arról, hogy a DOC+ orosz online orvosi szolgálatnak hogyan sikerült nyilvánosan hagynia egy részletes hozzáférési naplókkal ellátott adatbázist, amelyből a betegek és a szolgálat dolgozóinak adatait lehetett beszerezni. És itt van egy új incidens, egy másik orosz szolgáltatással, amely online konzultációkat biztosít a betegeknek az orvosokkal - „Doctor Nearby” (www.drclinics.ru).
Mindjárt leírom, hogy a Doctor is Near munkatársainak megfelelőségének köszönhetően a sérülékenységet gyorsan (éjszakai értesítéstől számítva 2 óra!) megszüntették, és nagy valószínűséggel nem szivárogtak ki személyes és egészségügyi adatok. Ellentétben a DOC+ incidenssel, ahol biztosan tudom, hogy legalább egy 3.5 GB méretű, adatokat tartalmazó json fájl a „nyílt világba” került, és a hivatalos álláspont így néz ki: „Kis mennyiségű adat átmenetileg nyilvánossá vált, ami nem járhat negatív következményekkel a DOC+ szolgáltatás alkalmazottai és felhasználói számára.”.
Velem, mint a Telegram csatorna tulajdonosával "", egy névtelen előfizető felvette a kapcsolatot, és egy lehetséges sebezhetőséget jelentett a www.drclinics.ru weboldalon.
A sérülékenység lényege az volt, hogy az URL ismeretében és a fiókja alatti rendszerben megtekintheti más betegek adatait.
Új fiók regisztrálásához a Doktor Nearby rendszerben tulajdonképpen csak egy mobiltelefonszámra van szükség, amelyre visszaigazoló SMS-t küldenek, így senkinek sem lehet gondja a személyes fiókjába való bejelentkezéssel.
Miután a felhasználó bejelentkezett személyes fiókjába, a böngésző címsorában lévő URL megváltoztatásával azonnal megtekintheti a betegek személyes adatait, sőt az orvosi diagnózisokat is tartalmazó jelentéseket.
Jelentős probléma volt, hogy a szolgáltatás a jelentések folyamatos számozását használja, és ezekből a számokból már URL-t képez:
https://[адрес сайта]/…/…/40261/…
Ezért elég volt beállítani a minimálisan megengedett számot (7911) és a maximumot (42926 - a sérülékenység idején), hogy kiszámítsa a rendszerben lévő jelentések teljes számát (35015), és még (ha volt rosszindulatú) letöltés is. mindegyiket egy egyszerű forgatókönyvvel.
A megtekinthető adatok között szerepelt: az orvos és a beteg teljes neve, az orvos és a beteg születési ideje, az orvos és a beteg telefonszáma, az orvos és a beteg neme, az orvos és a beteg e-mail címe, az orvos szakterülete , a konzultáció időpontja, a konzultáció költsége és bizonyos esetekben a diagnózis is ( megjegyzésként a jelentéshez).
Ez a sebezhetőség lényegében nagyon hasonlít a korábbihoz a „Zaimograd” mikrofinanszírozási szervezet szerverén. Ezután kereséssel 36763 XNUMX olyan szerződést sikerült megszerezni, amelyek a szervezet ügyfeleinek teljes útlevéladatait tartalmazták.
Ahogy már az elején jeleztem, a Doktor Nearby munkatársai valódi professzionalizmusról tettek tanúbizonyságot, és annak ellenére, hogy moszkvai idő szerint 23:00-kor értesítettem őket a sebezhetőségről, a személyes fiókomhoz való hozzáférést mindenki előtt azonnal lezárták, és 1-re: 00 (moszkvai idő szerint) ezt a biztonsági rést kijavították.
Nem tehetek róla, de még egyszer felrúgom ugyanannak a DOC+-nak (New Medicine LLC) a PR osztályát. Kijelenti "Egy kis mennyiségű adatot átmenetileg nyilvánosan elérhetővé tettek“, szem elől tévesztik azt a tényt, hogy „objektív kontroll” adatok állnak rendelkezésünkre, mégpedig a Shodan kereső. Amint azt a cikkhez fűzött megjegyzésekben helyesen megjegyeztük - Shodan szerint a nyitott ClickHouse szerver első rögzítésének dátuma a DOC+ IP-címen: 15.02.2019/03/08 00:17.03.2019:09, az utolsó rögzítés dátuma: 52/ 00. 40. XNUMX:XNUMX:XNUMX. Az adatbázis mérete körülbelül XNUMX GB.
Összesen 15 rögzítés volt:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00A nyilatkozatból az látszik ideiglenesen kicsit több mint egy hónap, de kis mennyiségű adat ez körülbelül 40 gigabájt. Hát nem is tudom…
De térjünk vissza „Az orvos a közelben van” c.
Jelenleg szakmai paranoiámat csak egy kisebb probléma kísérti - a szerver válasza alapján megtudhatja a rendszerben lévő bejelentések számát. Amikor olyan URL-ről próbál jelentést kérni, amely nem érhető el (de maga a jelentés elérhető), a szerver visszatér HOZZÁFÉRÉS MEGTAGADVA, és amikor nem létező jelentést próbál kérni, az visszatér NEM TALÁLHATÓ. A rendszerben lévő bejelentések számának időbeli növekedését figyelve (hetente egyszer, havonta stb.) felmérheti a szolgáltatás leterheltségét és a nyújtott szolgáltatások mennyiségét. Ez természetesen nem sérti a betegek és az orvosok személyes adatait, de lehet, hogy a cég üzleti titkait sérti.
Forrás: will.com