Бір-екі күн бұрын мен Habré сайтында ресейлік DOC+ онлайн медициналық қызметі пациенттер мен қызмет көрсету қызметкерлерінің деректерін алуға болатын егжей-тегжейлі кіру журналдары бар мәліметтер базасын қоғамдық доменде қалай қалдыра алғаны туралы. Міне, жаңа оқиға, пациенттерге дәрігерлермен онлайн кеңес беретін тағы бір ресейлік сервис - «Жақын жерде дәрігер» (www.drclinics.ru).
Бірден жазамын: «Дәрігер жақын» қызметкерлерінің барабарлығының арқасында осалдық тез жойылды (түнде хабарлау сәтінен бастап 2 сағат!) және жеке және медициналық деректердің ағып кетпеуі мүмкін. DOC+ оқиғасынан айырмашылығы, онда мен деректері бар кем дегенде бір json файлы, өлшемі 3.5 ГБ «ашық әлемде» аяқталды және ресми ұстаным келесідей көрінеді: «Деректердің шағын көлемі уақытша жалпыға қолжетімді болды, бұл DOC+ қызметінің қызметкерлері мен пайдаланушылары үшін жағымсыз салдарға әкелмейді.«.
Менімен Telegram арнасының иесі ретінде »», - деп анонимді жазылушы хабарласып, www.drclinics.ru сайтында ықтимал осалдық туралы хабарлады.
Осалдықтың мәні URL мекенжайын біліп, тіркелгіңіздің астындағы жүйеде бола отырып, сіз басқа пациенттердің деректерін көре аласыз.
Doctor Nearby жүйесінде жаңа есептік жазбаны тіркеу үшін сізге тек растау SMS-хабарламасы жіберілетін ұялы телефон нөмірі қажет, сондықтан ешкімнің жеке кабинетіне кіруде қиындықтар туындамауы мүмкін.
Пайдаланушы өзінің жеке кабинетіне кіргеннен кейін браузерінің мекенжай жолағындағы URL мекенжайын өзгерту арқылы пациенттердің жеке деректері және тіпті медициналық диагноздары бар есептерді бірден көре алады.
Маңызды мәселе бұл қызмет есептердің үздіксіз нөмірленуін қолданады және осы сандардан URL мекенжайын қалыптастырады:
https://[адрес сайта]/…/…/40261/…
Сондықтан жүйедегі есептердің жалпы санын (7911) есептеу және тіпті (зиянды ниет болса) жүктеп алу үшін ең аз рұқсат етілген нөмірді (42926) және максималды (35015 - осалдық кезінде) орнату жеткілікті болды. олардың барлығы қарапайым сценариймен.
Көруге болатын деректердің ішінде: дәрігер мен пациенттің толық аты-жөні, дәрігер мен пациенттің туған күні, дәрігер мен пациенттің телефондары, дәрігер мен пациенттің жынысы, дәрігер мен пациенттің электрондық пошта мекенжайлары, дәрігердің мамандығы , кеңес беру күні, кеңес беру құны және кейбір жағдайларда тіпті диагноз (есепке түсініктеме ретінде).
Бұл осалдық негізінен бұрынғыға өте ұқсас «Займоград» микроқаржы ұйымының серверінде. Содан кейін іздеу арқылы ұйым клиенттерінің толық төлқұжат деректерін қамтитын 36763 XNUMX келісімшартты алуға болады.
Әу бастан айтып өткенімдей, жақын маңдағы дәрігердің қызметкерлері нағыз кәсіби шеберлік көрсетті және мен оларға осалдық туралы сағат 23:00-де (Мәскеу уақытымен) хабарлағаныма қарамастан, менің жеке кабинетіме кіру барлығына бірден жабылды және 1: 00 (Мәскеу уақыты) бұл осалдық түзетілді.
Мен сол DOC+ (New Medicine LLC) компаниясының PR бөлімін тағы бір рет тепкілей алмаймын. жариялау»Деректердің аз бөлігі уақытша жалпыға қолжетімді болды«, олар біздің қолымызда «объективті бақылау» деректері бар екенін ұмытады, атап айтқанда Shodan іздеу жүйесі. Сол мақалаға түсініктемелерде дұрыс атап өтілгендей - Шоданның айтуынша, ашық ClickHouse серверінің DOC+ IP мекенжайында бірінші тіркелген күні: 15.02.2019 03:08:00, соңғы бекітілген күні: 17.03.2019/ 09/52 00:40:XNUMX. Дерекқордың көлемі шамамен XNUMX ГБ.
Барлығы 15 бекіту болды:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Мәлімдемеден бұл көрінеді уақытша бір айдан сәл астам уақыт өтті, бірақ деректердің аз мөлшері бұл шамамен 40 гигабайт. Білмеймін…
Бірақ «Дәрігер жақын жерде» дегенге оралайық.
Қазіргі уақытта менің кәсіби паранойям бір ғана кішігірім мәселеге байланысты - сервердің жауабы арқылы сіз жүйедегі есептердің санын біле аласыз. Қолжетімсіз URL мекенжайынан есепті алуға әрекеттенген кезде (бірақ есептің өзі қол жетімді), сервер қайтарады РҰҚСАТ ЖОҚ, және сіз жоқ есепті алуға тырысқанда, ол қайтарылады ТАБЫЛМАДЫ. Жүйедегі есептер санының уақыт бойынша (аптасына бір рет, ай және т.б.) ұлғаюын бақылай отырып, қызметтің жүктемесін және көрсетілетін қызметтердің көлемін бағалауға болады. Бұл, әрине, пациенттер мен дәрігерлердің жеке деректерін бұзбайды, бірақ бұл компанияның коммерциялық құпиясын бұзу болуы мүмкін.
Ақпарат көзі: www.habr.com