Ընդամենը մի քանի օր առաջ ես Habré-ում այն մասին, թե ինչպես է ռուսական DOC+ առցանց բժշկական ծառայությանը հաջողվել հանրային տիրույթում թողնել տվյալների բազա՝ մանրամասն մուտքի մատյաններով, որտեղից կարելի է ստանալ հիվանդների և ծառայության աշխատակիցների տվյալները: Եվ ահա նոր միջադեպ՝ ռուսական մեկ այլ ծառայության հետ, որը հիվանդներին առցանց խորհրդատվություն է տրամադրում բժիշկների հետ՝ «Doctor Nearby» (www.drclinics.ru):
Անմիջապես գրեմ, որ Doctor is Near անձնակազմի համարժեքության շնորհիվ խոցելիությունը արագ վերացվել է (գիշերը ծանուցման պահից 2 ժամ!) և, ամենայն հավանականությամբ, անձնական և բժշկական տվյալների արտահոսք չի եղել։ Ի տարբերություն DOC+ միջադեպի, որտեղ ես հաստատ գիտեմ, որ առնվազն մեկ json ֆայլ՝ 3.5 ԳԲ չափով, հայտնվել է «բաց աշխարհում», և պաշտոնական դիրքորոշումն այսպիսին է.Տվյալների փոքր քանակությունը ժամանակավորապես հասանելի է դարձել հանրությանը, ինչը չի կարող բացասական հետևանքների հանգեցնել DOC+ ծառայության աշխատակիցների և օգտագործողների համար։»:
Ինձ հետ՝ որպես Telegram ալիքի սեփականատեր»«Անանուն բաժանորդը կապ է հաստատել և հայտնել www.drclinics.ru կայքում հնարավոր խոցելիության մասին:
Խոցելիության էությունը կայանում էր նրանում, որ, իմանալով URL-ը և գտնվելով ձեր հաշվի տակ գտնվող համակարգում, կարող եք դիտել այլ հիվանդների տվյալները:
Doctor Nearby համակարգում նոր հաշիվ գրանցելու համար ձեզ իրականում անհրաժեշտ է միայն բջջային հեռախոսահամար, որին ուղարկվում է հաստատման SMS, այնպես որ ոչ ոք չի կարող որևէ խնդիր ունենալ իր անձնական հաշիվ մուտք գործելու համար:
Այն բանից հետո, երբ օգտատերը մուտք գործեց իր անձնական հաշիվ, նա կարող էր անմիջապես, փոխելով URL-ն իր բրաուզերի հասցեագոտում, դիտել հիվանդների անձնական տվյալներ և նույնիսկ բժշկական ախտորոշումներ պարունակող զեկույցներ:
Էական խնդիրն այն էր, որ ծառայությունը օգտագործում է հաշվետվությունների շարունակական համարակալում և արդեն ձևավորում է URL այս թվերից.
https://[адрес сайта]/…/…/40261/…
Հետևաբար, բավական էր սահմանել նվազագույն թույլատրելի թիվը (7911) և առավելագույնը (42926՝ խոցելիության պահին)՝ համակարգում հաշվետվությունների ընդհանուր թիվը (35015) հաշվարկելու և նույնիսկ (եթե եղել է վնասակար մտադրություն) ներբեռնելու համար։ դրանք բոլորը պարզ սցենարով:
Դիտման համար հասանելի տվյալների թվում էին` բժշկի և հիվանդի լրիվ անվանումը, բժշկի և հիվանդի ծննդյան տարեթվերը, բժշկի և հիվանդի հեռախոսահամարները, բժշկի և հիվանդի սեռը, բժշկի և հիվանդի էլեկտրոնային հասցեները, բժշկի մասնագիտությունը: , խորհրդատվության ամսաթիվը, խորհրդատվության արժեքը և որոշ դեպքերում նույնիսկ ախտորոշումը (որպես հաշվետվության մեկնաբանություն):
Այս խոցելիությունը, ըստ էության, շատ նման է նրան, ինչ եղել է «Զայմոգրադ» միկրոֆինանսական կազմակերպության սերվերում: Այնուհետև խուզարկությամբ հնարավոր է եղել ձեռք բերել կազմակերպության հաճախորդների անձնագրային ամբողջական տվյալները պարունակող 36763 պայմանագիր։
Ինչպես նշեցի ի սկզբանե, Doctor Nearby-ի աշխատակիցները ցուցաբերեցին իրական պրոֆեսիոնալիզմ և չնայած այն հանգամանքին, որ ես նրանց տեղեկացրել էի խոցելիության մասին ժամը 23:00-ին (Մոսկվայի ժամանակով), իմ անձնական հաշիվ մուտքն անմիջապես փակվեց բոլորի համար, և 1: 00 (Մոսկվայի ժամանակով) այս խոցելիությունը շտկվել է:
Չեմ կարող ևս մեկ անգամ չխփել նույն DOC+-ի (Նյու Բժշկություն ՍՊԸ) հասարակայնության հետ կապերի բաժնին: Հայտարարելով «Փոքր քանակությամբ տվյալներ ժամանակավորապես հասանելի են դարձել հանրությանըՆրանք աչքաթող են անում այն փաստը, որ մենք ունենք «օբյեկտիվ վերահսկողության» տվյալներ, այն է՝ Shodan որոնողական համակարգը։ Ինչպես ճիշտ է նշվել այդ հոդվածի մեկնաբանություններում, ըստ Շոդանի, բաց ClickHouse սերվերի առաջին ամրագրման ամսաթիվը DOC+ IP հասցեում՝ 15.02.2019/03/08 00:17.03.2019:09, վերջին ամրագրման ամսաթիվը՝ 52/ 00/40 XNUMX:XNUMX:XNUMX. Տվյալների բազայի չափը մոտ XNUMX ԳԲ է:
Ընդհանուր առմամբ եղել է 15 ամրագրում.
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Հայտարարությունից երևում է, որ ժամանակավորապես դա մեկ ամսից մի փոքր ավելի է, բայց փոքր քանակությամբ տվյալներ սա մոտավորապես 40 գիգաբայթ է: Լավ, ես չգիտեմ…
Բայց եկեք վերադառնանք «Բժիշկը մոտակայքում է»:
Այս պահին իմ մասնագիտական պարանոյային հետապնդում է միայն մեկ աննշան խնդիր՝ սերվերի պատասխանով դուք կարող եք պարզել համակարգում առկա հաշվետվությունների քանակը: Երբ փորձում եք հաշվետվություն ստանալ անհասանելի URL-ից (բայց հաշվետվությունն ինքնին հասանելի է), սերվերը վերադառնում է ՄՈՒՏՔՆ ԱՐԳԵԼՎԱԾ Է, և երբ փորձում եք ստանալ գոյություն չունեցող հաշվետվություն, այն վերադառնում է ՉԻ ԳՏՆՎԵԼ. Ժամանակի ընթացքում հետևելով համակարգում հաշվետվությունների քանակի ավելացմանը (շաբաթը մեկ անգամ, ամիսը և այլն), կարող եք գնահատել ծառայության ծանրաբեռնվածությունը և մատուցվող ծառայությունների ծավալը։ Սա, իհարկե, չի խախտում հիվանդների և բժիշկների անձնական տվյալները, բայց դա կարող է լինել ընկերության առևտրային գաղտնիքի խախտում։
Source: www.habr.com