Moien nach eng Kéier! Ech hunn erëm eng oppe Datebank mat medezineschen Donnéeën fir Iech fonnt. Loosst mech Iech drun erënneren datt et viru kuerzem dräi vun mengen Artikelen iwwer dëst Thema waren: , и .
Dës Kéier war den Elasticsearch-Server mat Logbicher aus dem medizinesche IT-System vum Laboratoire ëffentlech verfügbar.Center fir Molekulare Diagnostik"(CMD, www.cmd-online.ru).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
De Server gouf de Moien vum 1. Abrëll entdeckt an et huet mir guer net witzeg ausgesinn. Eng Notifikatioun iwwer de Problem goung un d'CMD ëm ongeféier 10 Auer (Moskauer Zäit) a géint 15:00 war d'Datebank net zougänglech.
No der Shodan Sichmotor gouf dëse Server fir d'éischt den 09.03.2019/XNUMX/XNUMX ëffentlech verfügbar gemaach. Doriwwer , Ech hunn e separaten Artikel geschriwwen.
Ganz sensibel Informatioun kéint aus de Logbicher kritt ginn, dorënner Voll Numm, Geschlecht, Gebuertsdatum vun de Patienten, voll Nimm vun Dokteren, Käschte vun der Fuerschung, Fuerschungsdaten, Dateie mat Screeningsresultater a vill méi.
Beispill vun engem Logbicher mat Patiententestresultater:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///Ech hunn all sensibel Donnéeën mat engem "X" ausgefëllt. Tatsächlech gouf alles opgemaach.
Vun esou Logbicher war et einfach (duerch Konvertéierung vu Base64) PNG Dateien mat Screeningresultater ze kréien, schonn an enger einfach ze liesen Form:
D'total Gréisst vun de Logbicher iwwerschratt 400 MB an am Ganzen hu se méi wéi eng Millioun Entréen enthalen. Et ass kloer datt net all Rekord eenzegaarteg Patientdaten representéiert.
Offiziell Äntwert vum CMD:
Mir soen Iech Merci fir d'Informatioun direkt den 01.04.2019. Abrëll XNUMX iwwer d'Präsenz vun enger Schwachstelle an der Elasticsearch Fehlerlogging a Späicherdatenbank ze vermëttelen.
Baséierend op dës Informatioun hunn eis Mataarbechter, zesumme mat relevante Spezialisten, den Zougang zu der spezifizéierter Datebank limitéiert. De Feeler beim Transfert vun vertraulechen Informatiounen an d'technesch Datebank gouf fixéiert.
Wärend der Analyse vum Zwëschefall war et méiglech erauszefannen datt d'Erscheinung vun der spezifizéierter Datebank mat Fehlerprotokoller am Domaine public war wéinst engem Grond am Zesummenhang mam mënschleche Faktor. Den Zougang zu den Donnéeën gouf prompt op 01.04.2019/XNUMX/XNUMX zougemaach.
Am Moment huelen intern an extern Spezialisten Moossname fir zousätzlech d'IT Infrastruktur fir Dateschutz ze kontrolléieren.
Eis Organisatioun huet speziell Reglementer entwéckelt fir mat perséinlechen Donnéeën ze schaffen an e System vum Niveau vun der Personalverantwortung.
Déi aktuell Softwareinfrastruktur benotzt eng Elasticsearch Datebank fir Feeler ze späicheren. Fir d'Zouverlässegkeet vun e puer Systemer ze verbesseren, ginn déi entspriechend Serveren an den Datenzenter vun eisem Partner migréiert, an eng zertifizéiert Software- an Hardware-Ëmfeld.
Merci fir déi fristgerecht Informatioun geliwwert.
Neiegkeeten iwwer Informatiounsleken an Insider kënnen ëmmer op mengem Telegram Kanal fonnt ginn "".
Source: will.com