Կրկին ողջույն! Ես կրկին գտել եմ ձեզ համար բժշկական տվյալների բաց տվյալների բազա: Հիշեցնեմ, որ բոլորովին վերջերս իմ հոդվածներից երեքն եղան այս թեմայով. , и .
Այս անգամ հանրությանը հասանելի էր Elasticsearch սերվերը՝ լաբորատոր ցանցի բժշկական ՏՏ համակարգի տեղեկամատյաններով։Մոլեկուլային ախտորոշման կենտրոն«(CMD, www.cmd-online.ru):
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Սերվերը հայտնաբերվել է ապրիլի 1-ի առավոտյան, և դա ինձ ամենևին էլ ծիծաղելի չէր թվում: Խնդրի մասին ծանուցումն ուղարկվել է ՔԴՄ մոտ առավոտյան ժամը 10-ին (Մոսկվայի ժամանակով) և մոտ 15։00-ին տվյալների բազան անհասանելի է դարձել։
Ըստ Shodan որոնման համակարգի, այս սերվերը առաջին անգամ հասանելի է դարձել 09.03.2019/XNUMX/XNUMX-ին: Այդ մասին , ես առանձին հոդված եմ գրել։
Շատ զգայուն տեղեկատվություն կարելի էր ձեռք բերել տեղեկամատյաններից, այդ թվում Ամբողջական անուն, սեռ, հիվանդների ծննդյան տարեթվեր, բժիշկների լրիվ անուններ, հետազոտության արժեքը, հետազոտության տվյալներ, ֆայլեր՝ զննման արդյունքներով եւ շատ ավելին:
Հիվանդի թեստի արդյունքներով գրանցամատյանի օրինակ.
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///Ես լրացրել եմ բոլոր զգայուն տվյալները «X» նշանով: Իրականում ամեն ինչ բաց էր պահվում։
Նման տեղեկամատյաններից հեշտ էր (Base64-ից վերափոխելով) ստանալ PNG ֆայլեր ցուցադրման արդյունքներով, արդեն հեշտ ընթեռնելի ձևով.
Տեղեկամատյանների ընդհանուր չափը գերազանցել է 400 ՄԲ-ը և ընդհանուր առմամբ դրանք պարունակում են ավելի քան մեկ միլիոն գրառում։ Հասկանալի է, որ ոչ բոլոր գրառումներն են ներկայացնում հիվանդի եզակի տվյալներ:
Պաշտոնական պատասխան CMD-ից.
Ցանկանում ենք շնորհակալություն հայտնել ձեզ 01.04.2019 թվականի ապրիլի XNUMX-ին Elasticsearch-ի սխալների գրանցման և պահպանման տվյալների բազայում խոցելիության առկայության մասին տեղեկատվությունը անհապաղ փոխանցելու համար:
Այս տեղեկատվության հիման վրա մեր աշխատակիցները համապատասխան մասնագետների հետ սահմանափակել են մուտքը նշված տվյալների բազա: Գաղտնի տեղեկատվության տեխնիկական շտեմարան փոխանցելու սխալն ուղղվել է։
Միջադեպի վերլուծության ընթացքում հնարավոր է եղել պարզել, որ նշված տվյալների բազայի՝ սխալների մատյաններով հանրության սեփականությունում հայտնվելը պայմանավորված է մարդկային գործոնով։ Տվյալների հասանելիությունը անհապաղ փակվել է 01.04.2019/XNUMX/XNUMX-ին:
Այս պահին ներքին և արտաքին մասնագետները միջոցներ են ձեռնարկում տվյալների պաշտպանության համար ՏՏ ենթակառուցվածքի լրացուցիչ աուդիտի համար։
Մեր կազմակերպությունը մշակել է անձնական տվյալների հետ աշխատելու հատուկ կանոնակարգեր և անձնակազմի պատասխանատվության մակարդակի համակարգ։
Ներկայիս ծրագրային ենթակառուցվածքը օգտագործում է Elasticsearch տվյալների բազա՝ սխալները պահելու համար: Որոշ համակարգերի հուսալիությունը բարելավելու համար համապատասխան սերվերները կտեղափոխվեն մեր գործընկերոջ տվյալների կենտրոն՝ հավաստագրված ծրագրային և ապարատային միջավայր:
Շնորհակալություն ժամանակին տրամադրված տեղեկատվության համար։
Տեղեկատվության արտահոսքի և ինսայդերների մասին լուրերը միշտ կարելի է գտնել իմ Telegram ալիքում»:.
Source: www.habr.com