Beberapa hari yang lalu aku di Habré tentang bagaimana layanan medis online Rusia DOC+ berhasil meninggalkan database dengan log akses terperinci di domain publik, yang darinya data pasien dan karyawan layanan dapat diperoleh. Dan inilah insiden baru, dengan layanan Rusia lainnya yang menyediakan konsultasi online dengan dokter kepada pasien - “Dokter Terdekat” (www.drclinics.ru).
Saya akan segera menulis bahwa berkat kecukupan staf Doctor is Near, kerentanan dengan cepat (2 jam sejak pemberitahuan di malam hari!) dihilangkan dan kemungkinan besar tidak ada kebocoran data pribadi dan medis. Berbeda dengan kejadian DOC+, di mana saya tahu pasti bahwa setidaknya satu file json dengan data berukuran 3.5 GB, berakhir di “dunia terbuka”, dan posisi resminya terlihat seperti ini: “Sejumlah kecil data untuk sementara telah tersedia untuk umum, sehingga tidak menimbulkan konsekuensi negatif bagi karyawan dan pengguna layanan DOC+.".
Bersama saya, sebagai pemilik saluran Telegram "", pelanggan anonim menghubungi dan melaporkan potensi kerentanan di situs web www.drclinics.ru.
Inti dari kerentanannya adalah, dengan mengetahui URL dan berada di sistem dengan akun Anda, Anda dapat melihat data pasien lain.
Untuk mendaftarkan akun baru di sistem Doctor Near sebenarnya Anda hanya memerlukan nomor ponsel yang akan dikirimi SMS konfirmasi, sehingga tidak ada seorang pun yang mengalami kesulitan saat login ke akun pribadinya.
Setelah pengguna masuk ke akun pribadinya, ia dapat segera, dengan mengubah URL di bilah alamat browsernya, melihat laporan yang berisi data pribadi pasien dan bahkan diagnosis medis.
Masalah yang signifikan adalah layanan ini menggunakan penomoran laporan secara terus-menerus dan sudah membentuk URL dari nomor-nomor berikut:
https://[адрес сайта]/…/…/40261/…
Oleh karena itu, cukup dengan menetapkan jumlah minimum yang diperbolehkan (7911) dan maksimum (42926 - pada saat kerentanan) untuk menghitung jumlah total (35015) laporan dalam sistem dan bahkan (jika ada niat jahat) pengunduhan semuanya dengan skrip sederhana.
Data yang dapat dilihat antara lain: nama lengkap dokter dan pasien, tanggal lahir dokter dan pasien, nomor telepon dokter dan pasien, jenis kelamin dokter dan pasien, alamat email dokter dan pasien, spesialisasi dokter. , tanggal konsultasi, biaya konsultasi dan dalam beberapa kasus bahkan diagnosis ( sebagai komentar pada laporan).
Kerentanan ini pada dasarnya sangat mirip dengan kerentanan sebelumnya di server organisasi keuangan mikro “Zaimograd”. Kemudian, melalui pencarian, dimungkinkan untuk memperoleh 36763 kontrak yang berisi data paspor lengkap klien organisasi tersebut.
Seperti yang saya tunjukkan sejak awal, karyawan Doctor Near menunjukkan profesionalisme yang nyata dan meskipun saya memberi tahu mereka tentang kerentanan pada pukul 23:00 (waktu Moskow), akses ke akun pribadi saya segera ditutup untuk semua orang, dan pada pukul 1: 00 (waktu Moskow) kerentanan ini telah diperbaiki.
Mau tak mau saya menendang sekali lagi departemen PR di DOC+ (New Medicine LLC) yang sama. Menyatakan "Sejumlah kecil data untuk sementara tersedia untuk umum“, mereka melupakan fakta bahwa kami memiliki data “kontrol objektif”, yaitu mesin pencari Shodan. Sebagaimana dicatat dengan benar dalam komentar artikel itu - menurut Shodan, tanggal fiksasi pertama server ClickHouse terbuka pada alamat IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, tanggal fiksasi terakhir: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ukuran databasenya sekitar XNUMX GB.
Total ada 15 fiksasi:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Dari pernyataan tersebut terlihat bahwa untuk sementara ini sebulan lebih sedikit, tapi sejumlah kecil data ini kira-kira 40 gigabyte. Aku tidak tahu…
Tapi mari kita kembali ke “The Doctor Is Near.”
Saat ini, paranoia profesional saya hanya dihantui oleh satu masalah kecil yang tersisa - berdasarkan respons server Anda dapat mengetahui jumlah laporan dalam sistem. Saat Anda mencoba mendapatkan laporan dari URL yang tidak dapat diakses (tetapi laporan itu sendiri tersedia), server kembali AKSES DITOLAK, dan saat Anda mencoba mendapatkan laporan yang tidak ada, laporan itu kembali TIDAK DITEMUKAN. Dengan memantau peningkatan jumlah laporan dalam sistem dari waktu ke waktu (seminggu sekali, sebulan, dll.), Anda dapat menilai beban kerja layanan dan volume layanan yang diberikan. Hal ini tentu saja tidak melanggar data pribadi pasien dan dokter, namun mungkin merupakan pelanggaran terhadap rahasia dagang perusahaan.
Sumber: www.habr.com