Solo un paio di giorni fa I su Habré su come il servizio medico online russo DOC+ sia riuscito a lasciare di dominio pubblico una banca dati con i registri dettagliati degli accessi, dalla quale è possibile ottenere i dati dei pazienti e dei dipendenti del servizio. Ed ecco un nuovo incidente, con un altro servizio russo che fornisce ai pazienti consultazioni online con i medici - "Dottore nelle vicinanze" (www.drclinics.ru).
Scrivo subito che grazie all'adeguatezza dello staff di Doctor is Near la vulnerabilità è stata velocemente (2 ore dal momento della notifica notturna!) eliminata e molto probabilmente non si è verificata alcuna fuga di dati personali e medici. A differenza dell’incidente DOC+, dove so per certo che almeno un file json con dati, di 3.5 GB, è finito nel “mondo aperto”, e la posizione ufficiale è questa: “Una piccola quantità di dati è stata temporaneamente resa pubblica, il che non può portare a conseguenze negative per i dipendenti e gli utenti del servizio DOC+.«.
Con me, in quanto titolare del canale Telegram"", un abbonato anonimo ha contattato e segnalato una potenziale vulnerabilità sul sito web www.drclinics.ru.
L'essenza della vulnerabilità era che, conoscendo l'URL ed essendo nel sistema sotto il tuo account, potevi visualizzare i dati di altri pazienti.
Per registrare un nuovo account nel sistema Doctor Near, infatti, è sufficiente un numero di cellulare al quale verrà inviato un SMS di conferma, così nessuno potrebbe avere problemi ad accedere al proprio account personale.
Dopo aver effettuato l'accesso al proprio account personale, l'utente poteva immediatamente, modificando l'URL nella barra degli indirizzi del browser, visualizzare rapporti contenenti dati personali dei pazienti e persino diagnosi mediche.
Un problema significativo era che il servizio utilizza la numerazione continua dei rapporti e forma già un URL da questi numeri:
https://[адрес сайта]/…/…/40261/…
Pertanto, è stato sufficiente impostare il numero minimo consentito (7911) e quello massimo (42926 - al momento della vulnerabilità) per calcolare il numero totale (35015) di segnalazioni nel sistema e anche (se c'era intento malevolo) scaricarle. tutti con una semplice sceneggiatura.
Tra i dati disponibili per la visualizzazione c'erano: nome completo del medico e del paziente, date di nascita del medico e del paziente, numeri di telefono del medico e del paziente, sesso del medico e del paziente, indirizzi email del medico e del paziente, specializzazione del medico , data della consultazione, costo della consultazione e in alcuni casi anche diagnosi (come commento al rapporto).
Questa vulnerabilità è essenzialmente molto simile a quella che era sul server dell’organizzazione di microfinanza “Zaimograd”. Quindi, effettuando una ricerca, è stato possibile ottenere 36763 contratti contenenti tutti i dati dei passaporti dei clienti dell’organizzazione.
Come ho indicato fin dall'inizio, i dipendenti di Doctor Around hanno mostrato vera professionalità e nonostante li abbia informati della vulnerabilità alle 23:00 (ora di Mosca), l'accesso al mio account personale è stato immediatamente chiuso a tutti e all'1: 00 (ora di Mosca) questa vulnerabilità è stata risolta.
Non posso fare a meno di prendere a calci ancora una volta il dipartimento PR della stessa DOC+ (New Medicine LLC). Dichiarare "Una piccola quantità di dati è stata temporaneamente resa pubblica“, perdono di vista il fatto che abbiamo a nostra disposizione dati di “controllo oggettivo”, vale a dire il motore di ricerca Shodan. Come correttamente notato nei commenti a quell'articolo, secondo Shodan, data della prima fissazione del server ClickHouse aperto sull'indirizzo IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data dell'ultima fissazione: 52/ 00/40 XNUMX:XNUMX:XNUMX. La dimensione del database è di circa XNUMX GB.
Ci sono state 15 fissazioni in totale:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Dal comunicato risulta che temporaneamente è passato poco più di un mese, ma piccola quantità di dati si tratta di circa 40 gigabyte. Beh non lo so…
Ma torniamo a “Il dottore è nelle vicinanze”.
Al momento la mia paranoia professionale è tormentata da un solo problema minore: dalla risposta del server è possibile scoprire il numero di segnalazioni nel sistema. Quando provi a ottenere un report da un URL non accessibile (ma il report stesso è disponibile), il server restituisce il risultato ACCESSO NEGATOe quando provi a ottenere un report che non esiste, ritorna NON TROVATO. Monitorando l'aumento del numero di segnalazioni nel sistema nel tempo (una volta alla settimana, un mese, ecc.), è possibile valutare il carico di lavoro del servizio e il volume dei servizi forniti. Ciò, ovviamente, non viola i dati personali di pazienti e medici, ma potrebbe costituire una violazione dei segreti commerciali dell’azienda.
Fonte: habr.com