Tutti i vostri dati sono accessibili pubblicamente

E di nuovo un saluto! Ho trovato per voi un'altra base di dati aperta con informazioni sanitarie. Ricordo che recentemente ho pubblicato tre articoli su questo argomento: la fuga di dati personali dei pazienti e dei medici dal servizio online DOC+, la vulnerabilità del servizio "Dottore vicino" e la fuga di dati delle stazioni di pronto soccorso.

Tutti i vostri dati sono accessibili pubblicamente

Questa volta è stato reso pubblico un server Elasticsearch con i log del sistema IT sanitario della rete di laboratori "Centro di diagnostica molecolare" (CMD, www.cmd-online.ru).

Dichiarazione: tutte le informazioni seguenti sono pubblicate esclusivamente a scopo educativo. L'autore non ha avuto accesso a dati personali di terzi e aziende. Le informazioni provengono da fonti aperte o sono state fornite all'autore da anonymous benefattori.

Il server è stato scoperto la mattina del 1º aprile e non mi è sembrato affatto divertente. La segnalazione del problema è stata inviata a CMD intorno alle 10 del mattino (MSK) e circa alle 15:00 la base dati è diventata non disponibile.

Secondo il motore di ricerca Shodan, questo server è stato reso pubblico per la prima volta il 09.03.2019. Riguardo a come vengono scoperte le basi di dati open Elasticsearch come vengono scoperte le basi di dati Elasticsearch aperte, ho scritto un articolo a parte.

Dai log era possibile ottenere informazioni molto sensibili, tra cui nome e cognome, sesso, date di nascita dei pazienti, nome e cognome dei medici, costo degli esami, dati degli esami, file con i risultati dello screening e molto altro.

Esempio di log con i risultati degli esami del paziente:

"Passaporto0423BF97FA5E-1DWW98675708386841791018.03.2019ROSS RU.13СК03.006012iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888////

Ho sostituito tutti i dati sensibili con il simbolo «X». In realtà, tutto era memorizzato in chiaro.

Da questi log era facile ottenere file PNG dei risultati dello screening (decodificando da Base64), già in un formato leggibile.

Tutti i vostri dati sono accessibili pubblicamente

La dimensione totale dei log superava i 400 MB e conteneva in totale oltre un milione di record. È evidente che non ogni record rappresentava i dati di un paziente unico.

Risposta ufficiale da CMD:

Desideriamo ringraziarvi per l'informazione tempestivamente fornita il 01.04.2019 riguardo alla presenza di una vulnerabilità nel database di registrazione e conservazione degli errori di Elasticsearch.

Sulla base di queste informazioni, i nostri dipendenti, insieme a specialisti del settore, hanno limitato l'accesso al database menzionato. L'errore di trasmissione di informazioni riservate nella base tecnica è stato corretto.

Durante l'analisi dell'incidente, è emerso che la disponibilità pubblica del database con i log degli errori è avvenuta a causa di un fattore umano. L'accesso ai dati è stato prontamente chiuso il 01.04.2019.

Attualmente, esperti interni ed esterni stanno conducendo attività per un'ulteriore revisione dell'infrastruttura IT in merito alla protezione dei dati.

La nostra organizzazione ha sviluppato un regolamento specifico per la gestione dei dati personali e del sistema di responsabilità a livelli del personale.

L'attuale infrastruttura software prevede l'uso di Elasticsearch per l'archiviazione degli errori. Per aumentare l'affidabilità di alcuni sistemi, avverrà la migrazione dei server corrispondenti nel Data Center del nostro partner, in un ambiente software e hardware certificato.

La ringraziamo per le informazioni fornite in tempo.

Le notizie su fughe di informazioni e insider possono sempre essere trovate sul mio canale Telegram «Fughe di informazioni».

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster