Mung sawetara dina kepungkur aku ing HabrΓ© babagan carane layanan medis online Rusia DOC + bisa ninggalake database kanthi log akses rinci ing domain umum, saka ngendi data pasien lan karyawan layanan bisa dipikolehi. Lan ing kene ana kedadeyan anyar, karo layanan Rusia liyane sing nyedhiyakake pasien konsultasi online karo dokter - "Dokter Nearby" (www.drclinics.ru).
Aku bakal langsung nulis yen thanks kanggo kecukupan Staff Doctor is Near, kerentanan cepet (2 jam saka wayahe kabar ing wayah wengi!) Diilangi lan paling kamungkinan ora ana bocor data pribadi lan medical. Ora kaya kedadeyan DOC +, ing ngendi aku ngerti manawa paling ora siji file json kanthi data, ukurane 3.5 GB, rampung ing "donya mbukak", lan posisi resmi katon kaya iki: "A jumlah cilik data wis kasedhiya kanggo umum kanggo sementara, sing ora bisa nyebabake akibat negatif kanggo karyawan lan pangguna layanan DOC +.".
Karo aku, minangka pemilik saluran Telegram "", Pelanggan anonim ngubungi lan nglaporake kerentanan potensial ing situs web www.drclinics.ru.
Inti saka kerentanan yaiku, ngerti URL lan ana ing sistem ing akun sampeyan, sampeyan bisa ndeleng data pasien liyane.
Kanggo ndhaptar akun anyar ing sistem Doctor Nearby, sampeyan mung butuh nomer ponsel sing dikirim SMS konfirmasi, mula ora ana sing bisa duwe masalah mlebu menyang akun pribadhi.
Sawise pangguna mlebu menyang akun pribadhi, dheweke bisa langsung, kanthi ngganti URL ing bilah alamat browser, ndeleng laporan sing ngemot data pribadhi pasien lan malah diagnosa medis.
Masalah sing penting yaiku layanan kasebut nggunakake nomer laporan sing terus-terusan lan wis nggawe URL saka nomer kasebut:
https://[Π°Π΄ΡΠ΅Ρ ΡΠ°ΠΉΡΠ°]/β¦/β¦/40261/β¦
Mulane, cukup kanggo nyetel nomer minimal sing diidini (7911) lan maksimum (42926 - ing wektu kerentanan) kanggo ngetung jumlah total (35015) laporan ing sistem lan malah (yen ana niat jahat) download kabeh karo script prasaja.
Antarane data sing kasedhiya kanggo dideleng yaiku: jeneng lengkap dokter lan pasien, tanggal lair dokter lan pasien, nomer telpon dokter lan pasien, jinis kelamin dokter lan pasien, alamat email dokter lan pasien, spesialisasi dokter. , tanggal konsultasi, biaya konsultasi lan ing sawetara kasus malah diagnosa (minangka komentar kanggo laporan).
Kerentanan iki sejatine meh padha karo sing ana ing server organisasi keuangan mikro "Zaimograd". Banjur, kanthi nggoleki, bisa entuk 36763 kontrak sing ngemot data paspor lengkap saka klien organisasi.
Kaya sing dakkandhakake wiwit wiwitan, karyawan Doctor Nearby nuduhake profesionalisme sing nyata lan sanajan aku ngandhani babagan kerentanan ing 23:00 (wektu Moscow), akses menyang akun pribadhi langsung ditutup kanggo kabeh wong, lan 1: 00 (wektu Moscow) kerentanan iki wis diatasi.
Aku ora bisa bantuan nanging kick sepisan maneh departemen PR saka padha DOC + (New Medicine LLC). Nyatakake"A jumlah cilik saka data kanggo sementara kasedhiya kanggo umum", dheweke ora weruh yen kita duwe data "kontrol obyektif" ing pembuangan kita, yaiku mesin telusur Shodan. Kaya sing kacathet kanthi bener ing komentar ing artikel kasebut - miturut Shodan, tanggal fiksasi pisanan saka server ClickHouse mbukak ing alamat IP DOC +: 15.02.2019/03/08 00:17.03.2019:09, tanggal fiksasi pungkasan: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ukuran database kira-kira XNUMX GB.
Ana 15 fiksasi total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Saka pratelan kasebut katon sementara iku sethitik liwat sasi, nanging jumlah cilik saka data iki kira-kira 40 gigabyte. Wah aku ora ngertiβ¦
Nanging ayo bali menyang "Dokter Cedhak."
Ing wayahe, paranoia profesional saya angker mung siji masalah cilik sing isih ana - kanthi respon server sampeyan bisa ngerteni jumlah laporan ing sistem kasebut. Nalika sampeyan nyoba njupuk laporan saka URL sing ora bisa diakses (nanging laporan kasebut kasedhiya), server kasebut bali ORA ISO MLEBU, lan nalika sampeyan nyoba kanggo njaluk laporan sing ora ana, bali ORA_TEMU. Kanthi ngawasi paningkatan jumlah laporan ing sistem sajrone wektu (seminggu, sasi, lan sapiturute), sampeyan bisa netepake beban kerja layanan lan volume layanan sing diwenehake. Iki, mesthi, ora nglanggar data pribadhi pasien lan dokter, nanging bisa uga nglanggar rahasia dagang perusahaan.
Source: www.habr.com