Fyrir aðeins nokkrum dögum síðan ég á Habré um hvernig rússnesku netlæknaþjónustunni DOC+ tókst að skilja eftir gagnagrunn með ítarlegum aðgangsskrám á almenningi, þaðan sem hægt var að nálgast gögn sjúklinga og starfsmanna þjónustunnar. Og hér er nýtt atvik, með annarri rússneskri þjónustu sem veitir sjúklingum samráð við lækna á netinu - „Læknir í nágrenninu“ (www.drclinics.ru).
Ég mun skrifa strax að þökk sé fullnægjandi starfsfólki Doctor is Near, var veikleikanum fljótt útrýmt (2 klukkustundir frá því augnabliki sem tilkynnt var um að nóttu til!) og líklega var enginn leki á persónulegum og læknisfræðilegum gögnum. Ólíkt DOC+ atvikinu, þar sem ég veit með vissu að að minnsta kosti ein json skrá með gögnum, 3.5 GB að stærð, endaði í „opnum heimi“ og opinber staða lítur svona út: “Lítið magn gagna er tímabundið orðið aðgengilegt almenningi, sem getur ekki leitt til neikvæðra afleiðinga fyrir starfsmenn og notendur DOC+ þjónustunnar.".
Með mér, sem eiganda Telegram rásarinnar "“, hafði nafnlaus áskrifandi samband og tilkynnti um hugsanlegan varnarleysi á vefsíðunni www.drclinics.ru.
Kjarninn í varnarleysinu var sá að með því að þekkja slóðina og vera í kerfinu undir reikningnum þínum gætirðu skoðað gögn annarra sjúklinga.
Til að skrá nýjan aðgang í Doctor Nearby kerfið þarftu í raun aðeins farsímanúmer sem staðfestingar-SMS er sent á, svo enginn gæti lent í vandræðum með að skrá sig inn á persónulega reikninginn sinn.
Eftir að notandinn skráði sig inn á persónulegan reikning sinn gat hann strax, með því að breyta vefslóðinni í veffangastiku vafrans síns, skoðað skýrslur sem innihéldu persónuleg gögn sjúklinga og jafnvel læknisfræðilegar greiningar.
Verulegt vandamál var að þjónustan notar stöðuga númerun skýrslna og myndar nú þegar vefslóð úr þessum tölum:
https://[адрес сайта]/…/…/40261/…
Þess vegna var nóg að stilla leyfilega lágmarksfjölda (7911) og hámark (42926 - á þeim tíma sem varnarleysið átti sér stað) til að reikna út heildarfjölda (35015) tilkynninga í kerfinu og jafnvel niðurhala (ef illgjarn ásetning var fyrir hendi) þau öll með einföldu handriti.
Meðal gagna sem hægt var að skoða voru: fullt nafn læknis og sjúklings, fæðingardagar læknis og sjúklings, símanúmer læknis og sjúklings, kyn læknis og sjúklings, netföng læknis og sjúklings, sérsvið læknis , dagsetning samráðs, kostnaður við samráð og í sumum tilfellum jafnvel greining (sem athugasemd við skýrslu).
Þessi varnarleysi er í meginatriðum mjög lík því sem var á netþjóni örfjármögnunarsamtakanna „Zaimograd“. Síðan, með því að leita, var hægt að fá 36763 samninga sem innihéldu öll vegabréfagögn viðskiptavina stofnunarinnar.
Eins og ég gaf til kynna frá upphafi, sýndu starfsmenn Doctor Nearby alvöru fagmennsku og þrátt fyrir að ég upplýsti þá um varnarleysið klukkan 23:00 (Moskvutími), var aðgangi að mínum persónulega reikningi strax lokaður öllum, og 1: 00 (Moskvutími) hefur þessi varnarleysi verið lagaður.
Ég get ekki annað en sparkað enn og aftur í PR-deild sama DOC+ (New Medicine LLC). Að lýsa yfir"Lítið magn gagna var tímabundið gert opinbert“, missa þeir sjónar á þeirri staðreynd að við höfum „hlutlæg stjórn“ gögn til umráða, nefnilega Shodan leitarvélina. Eins og rétt er tekið fram í athugasemdum við þá grein - samkvæmt Shodan, dagsetning fyrstu lagfæringar á opna ClickHouse þjóninum á DOC+ IP tölu: 15.02.2019/03/08 00:17.03.2019:09, dagsetning síðustu lagfæringar: 52/ 00/40 XNUMX:XNUMX:XNUMX. Stærð gagnagrunnsins er um XNUMX GB.
Alls voru 15 upptökur:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Af yfirlýsingunni kemur fram að tímabundið það er rúmlega mánuður, en lítið magn af gögnum þetta er um það bil 40 gígabæt. Jæja ég veit ekki…
En snúum okkur aftur að "Læknirinn er í nágrenninu."
Í augnablikinu er vænisýki mín í atvinnumennsku ásótt af aðeins einu minniháttar vandamáli sem eftir er - með svari netþjónsins geturðu fundið út fjölda tilkynninga í kerfinu. Þegar þú reynir að fá skýrslu frá vefslóð sem er ekki aðgengileg (en skýrslan sjálf er til staðar) kemur þjónninn aftur ACCESS_DENIED, og þegar þú reynir að fá skýrslu sem er ekki til kemur hún aftur EKKI FUNDIÐ. Með því að fylgjast með fjölgun tilkynninga í kerfinu með tímanum (einu sinni í viku, mánuð o.s.frv.) er hægt að leggja mat á álag þjónustunnar og umfang veittrar þjónustu. Þetta brýtur auðvitað ekki í bága við persónuupplýsingar sjúklinga og lækna, en það getur verið brot á viðskiptaleyndarmálum fyrirtækisins.
Heimild: www.habr.com