Бир-эки күн мурун мен Habré боюнча орус онлайн медициналык кызматы DOC+ коомдук доменде деталдуу кирүү журналдары менен маалымат базасын кантип калтырып кеткени, андан бейтаптардын жана тейлөө кызматкерлеринин маалыматтарын алууга болот. Жана бул жерде жаңы окуя, бейтаптарга дарыгерлер менен онлайн консультацияларды берген дагы бир орус кызматы менен - "Doctor Nearby" (www.drclinics.ru).
Мен дароо жазып кетем, Doctor is Near персоналынын адекваттуулугунун аркасында алсыздык тез жоюлган (түндө билдирилгенден 2 саат!) жана жеке жана медициналык маалыматтар агып кетпеген. DOC+ окуясынан айырмаланып, мен 3.5 ГБ өлчөмүндөгү жок дегенде бир json файлы "ачык дүйнөдө" аяктаганын так билем жана расмий позиция мындай: "Бир аз маалымат убактылуу жалпыга жеткиликтүү болуп калды, бул DOC+ кызматынын кызматкерлери жана колдонуучулары үчүн терс кесепеттерге алып келиши мүмкүн эмес.".
Мен менен, Telegram каналынын ээси катары "", анонимдүү абонент байланышып, www.drclinics.ru веб-сайтында мүмкүн болгон алсыздык жөнүндө билдирди.
Алсыздыктын маңызы URL дарегин билип, сиздин каттоо эсебиңиздин тутумунда болуу менен башка пациенттердин маалыматтарын көрө аласыз.
Doctor Nearby системасында жаңы аккаунтту каттоо үчүн сизге чындыгында ырастоо SMS жөнөтүлгөн уюлдук телефондун номери гана керек, андыктан эч ким өзүнүн жеке кабинетине кирүүдө эч кандай кыйынчылыктарга дуушар болбошу керек.
Колдонуучу өзүнүн жеке аккаунтуна киргенден кийин, ал дароо эле браузеринин дарек тилкесиндеги URL дарегин өзгөртүү менен бейтаптардын жеке маалыматтарын жана ал тургай медициналык диагноздорду камтыган отчетторду көрө алат.
Маанилүү көйгөй бул кызмат отчеттордун үзгүлтүксүз номерлерин колдонот жана буга чейин бул сандардан URL түзөт:
https://[адрес сайта]/…/…/40261/…
Демек, системадагы отчеттордун жалпы санын (7911) эсептөө жана ал тургай (эгер зыяндуу ниет болсо) жүктөө үчүн минималдуу уруксат берилген санды (42926) жана максималдуу (35015 - аялуу учурунда) коюу жетиштүү болду. алардын баары жөнөкөй скрипт менен.
Көрүү үчүн жеткиликтүү болгон маалыматтардын арасында: дарыгердин жана пациенттин толук аты-жөнү, дарыгердин жана пациенттин туулган датасы, дарыгер менен пациенттин телефон номерлери, дарыгердин жана пациенттин жынысы, дарыгердин жана пациенттин электрондук почта даректери, дарыгердин адистиги , консультациянын датасы, консультациянын баасы жана кээ бир учурларда ал тургай диагноз (отчетко комментарий катары).
Бул алсыздык мурункуга абдан окшош "Займоград" микрофинансылык уюмунун серверинде. Андан кийин издөө аркылуу уюмдун кардарларынын толук паспорттук маалыматтарын камтыган 36763 XNUMX келишимди алууга мүмкүн болгон.
Мен башынан эле белгилегендей, Doctor Nearby кызматкерлери чыныгы профессионалдуулукту көрсөтүштү жана мен аларга алсыздыгы тууралуу саат 23:00дө (Москва убактысы боюнча) билдиргениме карабастан, менин жеке кабинетиме кирүү баарына дароо жабылды жана 1: 00 (Москва убактысы) бул кемчилик оңдолду.
Мен дагы бир жолу ошол эле DOC+ (New Medicine LLC) компаниясынын PR бөлүмүн тепкилебей коё албайм. жарыялоо"Бир аз көлөмдөгү маалыматтар убактылуу жалпыга жеткиликтүү болду", алар биздин карамагыбызда "объективдүү башкаруу" маалыматтары бар экенин, тактап айтканда Шодан издөө тутумун унутуп калышат. Ошол макалага комментарийлерде туура белгиленгендей - Шодандын айтымында, ачык ClickHouse серверинин DOC+ IP дареги боюнча биринчи фиксацияланган датасы: 15.02.2019 03:08:00, акыркы фиксация датасы: 17.03.2019/ 09/52 00:40:XNUMX. Маалымат базасынын көлөмү болжол менен XNUMX ГБ.
Бардыгы болуп 15 фиксация болгон:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Билдирүүдөн көрүнүп тургандай убактылуу бир айдан бир аз ашты, бирок маалыматтардын аз көлөмү бул болжол менен 40 гигабайт. Жакшы мен билбейм…
Бирок, келгиле, "Дарыгер жакын жерде" дегенге кайрылалы.
Учурда менин профессионалдык паранойямды бир гана кичинекей көйгөй каптап турат - сервердин жообу менен сиз системадагы отчеттордун санын биле аласыз. Сиз жеткиликсиз URL дарегинен отчет алууга аракет кылганыңызда (бирок отчеттун өзү жеткиликтүү), сервер кайтып келет ACCESS_RENIED, жана сиз жок отчетту алууга аракет кылганыңызда, ал кайтып келет ТАБЫЛГАН ЖОК. Убакыттын өтүшү менен системадагы отчеттордун санынын көбөйүшүнө мониторинг жүргүзүү менен (жумасына бир жолу, ай ж.б.) сиз кызматтын иш жүгүн жана көрсөтүлгөн кызматтардын көлөмүн баалай аласыз. Бул, албетте, бейтаптардын жана дарыгерлердин жеке маалыматтарын бузбайт, бирок бул компаниянын соода сырын бузуу болушу мүмкүн.
Source: www.habr.com