Virun e puer Deeg hunn ech op Habré iwwer wéi de russeschen Online-medezinesche Service DOC+ et fäerdeg bruecht huet eng Datebank mat detailléierten Zougangsprotokoller am Domaine public ze verloossen, aus deenen d'Donnéeë vu Patienten a Service-Mataarbechter kënne kritt ginn. An hei ass en neien Tëschefall, mat engem anere russesche Service, deen de Patienten online Konsultatiounen mat Dokteren ubitt - "Doctor Nearby" (www.drclinics.ru).
Ech wäert direkt schreiwen datt dank der Adäquatitéit vum Dokter ass Near Personal d'Vulnerabilitéit séier (2 Stonnen vum Moment vun der Notifikatioun an der Nuecht!) eliminéiert gouf an héchstwahrscheinlech kee Leck vu perséinlechen a medizinesche Donnéeën. Am Géigesaz zum DOC+ Tëschefall, wou ech sécher weess datt op d'mannst eng json Datei mat Daten, 3.5 GB an der Gréisst, an der "oppener Welt" opgehalen ass, an déi offiziell Positioun gesäit esou aus: "Eng kleng Quantitéit un Donnéeën ass temporär ëffentlech verfügbar ginn, wat net zu negativen Konsequenze fir Mataarbechter a Benotzer vum DOC+ Service féiere kann.".
Mat mir, als Besëtzer vum Telegram Kanal "", en anonyme Abonnent kontaktéiert a bericht eng potenziell Schwachstelle op der Websäit www.drclinics.ru.
D'Essenz vun der Schwachstelle war datt Dir d'URL kennt an am System ënner Ärem Kont sidd, Dir kënnt d'Donnéeë vun anere Patienten kucken.
Fir en neie Kont am Doctor Nearby System unzemellen, brauch Dir eigentlech nëmmen eng Handysnummer, op déi eng Confirmatiouns-SMS geschéckt gëtt, sou datt kee Probleemer huet sech op säi perséinleche Kont aloggen.
Nodeems de Benotzer op säi perséinleche Kont ageloggt ass, konnt hien direkt, andeems hien d'URL an der Adressbar vu sengem Browser ännert, Berichter gesinn mat perséinlechen Donnéeë vu Patienten a souguer medizinesch Diagnosen.
E wesentleche Problem war datt de Service kontinuéierlech Nummeréierung vu Berichter benotzt a scho eng URL aus dësen Zuelen formt:
https://[адрес сайта]/…/…/40261/…
Dofir war et genuch fir déi minimal erlaabt Zuel (7911) an de Maximum (42926 - zur Zäit vun der Schwachstelle) ze setzen fir d'Gesamtzuel (35015) vu Berichter am System ze berechnen an och (wann et béiswëlleg Absicht war) se all mat engem einfachen Skript.
Ënnert den Donnéeën fir ze kucken waren: Vollen Numm vum Dokter a Patient, Gebuertsdatum vum Dokter a Patient, Telefonsnummer vum Dokter a Patient, Geschlecht vum Dokter a Patient, E-Mail Adresse vum Dokter a Patient, Dokter Spezialisatioun , Datum vun Consultatioun, Käschte vun Consultatioun an an e puer Fäll souguer Diagnos (als Commentaire op de Rapport).
Dës Schwachstelle ass wesentlech ganz ähnlech wéi déi, déi war um Server vun der Mikrofinanzorganisatioun "Zaimograd". Dunn, duerch Sich, war et méiglech 36763 Kontrakter ze kréien déi voll Passdaten vun de Clienten vun der Organisatioun enthalen.
Wéi ech vun Ufank un uginn hunn, hunn d'Dokter Nearby Mataarbechter wierklech Professionalitéit gewisen an trotz der Tatsaach, datt ech hinnen iwwer d'Schwachheet um 23:00 (Moskau Zäit) informéiert hunn, gouf den Zougang zu mengem perséinleche Kont direkt fir jiddereen zougemaach, a vum 1: 00 (Moskau Zäit) ass dës Schwachstelle fixéiert.
Ech kann net hëllefen awer nach eng Kéier de PR Departement vum selwechten DOC+ (New Medicine LLC) ze schéissen. erklären"Eng kleng Quantitéit vun Daten gouf temporär ëffentlech verfügbar gemaach", si verléieren d'Tatsaach, datt mir "objektiv Kontroll" Daten zur Verfügung hunn, nämlech d'Shodan Sichmotor. Wéi korrekt an de Kommentaren zu deem Artikel bemierkt - laut Shodan, den Datum vun der éischter Fixatioun vum oppene ClickHouse Server op der DOC+ IP Adress: 15.02.2019/03/08 00:17.03.2019:09, Datum vun der leschter Fixatioun: 52/ 00/40 XNUMX:XNUMX:XNUMX. D'Datebankgréisst ass ongeféier XNUMX GB.
Et waren am Ganzen 15 Fixatiounen:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Aus der Ausso geet eraus, datt temporär et ass e bësse méi wéi engem Mount, awer kleng Quantitéit vun Donnéeën dëst ass ongeféier 40 gigabytes. Ma ech weess net ...
Awer loosst eis zréck op "The Doctor Is Nearby."
Am Moment ass meng berufflech Paranoia vun nëmmen engem verbleiwen klengen Problem verfollegt - vun der Server Äntwert kënnt Dir d'Zuel vun de Berichter am System erausfannen. Wann Dir probéiert e Bericht vun enger URL ze kréien déi net zougänglech ass (awer de Bericht selwer ass verfügbar), kënnt de Server zréck ZUGRËFF REFUSÉIERT, a wann Dir probéiert e Bericht ze kréien deen net existéiert, geet et zréck NET FONNT. Andeems Dir d'Erhéijung vun der Zuel vun de Berichter am System iwwer Zäit iwwerwaacht (eemol an der Woch, Mount, asw.), kënnt Dir d'Aarbechtslaascht vum Service an de Volume vun de Servicer beurteelen. Dëst verletzt selbstverständlech net d'perséinlech Donnéeën vu Patienten an Dokteren, awer et kann eng Verletzung vun den Handelsgeheimnisser vun der Firma sinn.
Source: will.com