Vos prieš porą dienų aš Habré apie tai, kaip Rusijos internetinei medicinos tarnybai DOC+ pavyko viešoje erdvėje palikti duomenų bazę su išsamiais prieigos žurnalais, iš kurių buvo galima gauti pacientų ir tarnybos darbuotojų duomenis. Ir čia yra naujas incidentas su kita Rusijos tarnyba, teikiančia pacientams internetines konsultacijas su gydytojais - „Gydytojas netoliese“ (www.drclinics.ru).
Tuoj parašysiu, kad dėl Doctor is Near personalo adekvatumo pažeidžiamumas buvo greitai (2 valandos nuo pranešimo nakties!) pašalintas ir greičiausiai nebuvo asmens ir medicininių duomenų nutekėjimo. Skirtingai nuo DOC+ incidento, kai aš tikrai žinau, kad bent vienas 3.5 GB dydžio json failas su duomenimis pateko į „atvirą pasaulį“, o oficiali pozicija atrodo taip: „Nedidelis duomenų kiekis laikinai tapo viešai prieinamas, o tai negali sukelti neigiamų pasekmių darbuotojams ir DOC+ paslaugos naudotojams."
Su manimi, kaip „Telegram“ kanalo savininku ““, susisiekė anoniminis abonentas ir svetainėje www.drclinics.ru pranešė apie galimą pažeidžiamumą.
Pažeidžiamumo esmė buvo ta, kad žinant URL ir būdami sistemoje pagal savo paskyrą galite peržiūrėti kitų pacientų duomenis.
Norint užregistruoti naują paskyrą „Daktaras netoliese“ sistemoje, iš tikrųjų reikia tik mobiliojo telefono numerio, į kurį siunčiama patvirtinimo SMS, todėl niekam negalėtų kilti problemų prisijungiant prie savo asmeninės paskyros.
Prisijungęs prie savo asmeninės paskyros, vartotojas iš karto, naršyklės adreso juostoje pakeitęs URL, galėjo peržiūrėti ataskaitas, kuriose yra asmeninių pacientų duomenų ir net medicininių diagnozių.
Didelė problema buvo ta, kad paslauga naudoja nuolatinį ataskaitų numeravimą ir jau formuoja URL iš šių skaičių:
https://[адрес сайта]/…/…/40261/…
Todėl pakako nustatyti minimalų leistiną skaičių (7911) ir maksimalų (42926 – pažeidžiamumo metu), kad būtų apskaičiuotas bendras pranešimų skaičius (35015) sistemoje ir net (jei buvo piktybinis ketinimas) atsisiųsti. jie visi su paprastu scenarijumi.
Galimi peržiūrėti duomenys: visas gydytojo ir paciento vardas, pavardė, gydytojo ir paciento gimimo datos, gydytojo ir paciento telefono numeriai, gydytojo ir paciento lytis, gydytojo ir paciento elektroninio pašto adresai, gydytojo specializacija. , konsultacijos data, konsultacijos kaina ir kai kuriais atvejais net diagnozė (kaip komentaras prie ataskaitos).
Šis pažeidžiamumas iš esmės labai panašus į tą, kuris buvo mikrofinansų organizacijos „Zaimograd“ serveryje. Tada, atliekant paiešką, pavyko gauti 36763 XNUMX sutartis, kuriose buvo nurodyti visi organizacijos klientų paso duomenys.
Kaip jau minėjau nuo pat pradžių, „Daktaras netoliese“ darbuotojai demonstravo tikrą profesionalumą ir nepaisant to, kad apie pažeidžiamumą informavau juos 23 val. (Maskvos laiku), prieiga prie mano asmeninės paskyros buvo iškart uždaryta visiems, o iki 00 val. 1 (Maskvos laiku) šis pažeidžiamumas buvo ištaisytas.
Negaliu atsispirti to paties DOC+ (New Medicine LLC) viešųjų ryšių skyriui. Deklaruojant "Nedidelis duomenų kiekis buvo laikinai paskelbtas viešai“, jie pamiršta, kad turime „objektyvios kontrolės“ duomenis, būtent Shodan paieškos programą. Kaip teisingai pažymėta to straipsnio komentaruose - pasak Shodan, pirmojo atviro ClickHouse serverio fiksavimo data DOC+ IP adresu: 15.02.2019-03-08 00:17.03.2019:09, paskutinės fiksacijos data: 52/ 00-40-XNUMX:XNUMX:XNUMX. Duomenų bazės dydis yra apie XNUMX GB.
Iš viso buvo 15 fiksacijų:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Iš pareiškimo matyti, kad laikinai tai šiek tiek daugiau nei mėnuo, bet mažas duomenų kiekis tai yra maždaug 40 gigabaitų. Na, aš nežinau…
Bet grįžkime prie „Gydytojas yra netoliese“.
Šiuo metu mano profesinę paranoją persekioja tik viena likusi nedidelė problema - pagal serverio atsakymą galite sužinoti pranešimų skaičių sistemoje. Kai bandote gauti ataskaitą iš URL, kuris nėra pasiekiamas (bet pati ataskaita yra), serveris grįžta ACCESS_DENIED, o kai bandote gauti ataskaitą, kurios nėra, ji grįžta NERASTAS. Stebėdami ataskaitų skaičiaus padidėjimą sistemoje laikui bėgant (kartą per savaitę, mėnesį ir pan.), galite įvertinti paslaugos darbo krūvį ir teikiamų paslaugų apimtis. Tai, žinoma, nepažeidžia pacientų ir gydytojų asmens duomenų, tačiau tai gali būti įmonės komercinių paslapčių pažeidimas.
Šaltinis: www.habr.com