Tikai pirms pāris dienām es Habrē par to, kā Krievijas tiešsaistes medicīnas dienestam DOC+ izdevies publiskajā telpā atstāt datubāzi ar detalizētiem piekļuves žurnāliem, no kuras varēja iegūt pacientu un dienesta darbinieku datus. Un šeit ir jauns incidents ar citu Krievijas dienestu, kas nodrošina pacientiem tiešsaistes konsultācijas ar ārstiem - “Doktors tuvumā” (www.drclinics.ru).
Uzreiz rakstīšu, ka pateicoties Doctor is Near personāla adekvātumam, ievainojamība tika ātri (2 stundas no paziņojuma brīža naktī!) novērsta un, visticamāk, personas un medicīnisko datu noplūdes nebija. Atšķirībā no DOC+ incidenta, kur es droši zinu, ka vismaz viens json fails ar datiem, 3.5 GB liels, nokļuva “atvērtajā pasaulē”, un oficiālā pozīcija izskatās šādi: “Uz laiku ir publiski pieejams neliels datu apjoms, kas nevar radīt negatīvas sekas darbiniekiem un DOC+ pakalpojuma lietotājiem.".
Ar mani kā telegrammas kanāla īpašnieku "", sazinājās kāds anonīms abonents un ziņoja par iespējamu ievainojamību vietnē www.drclinics.ru.
Ievainojamības būtība bija tāda, ka, zinot URL un atrodoties sistēmā zem sava konta, jūs varat skatīt citu pacientu datus.
Lai reģistrētu jaunu kontu Doctor Nearby sistēmā, faktiski ir nepieciešams tikai mobilā tālruņa numurs, uz kuru tiek nosūtīta apstiprinājuma SMS, tāpēc nevienam nevarētu rasties problēmas ar ielogošanu savā personīgajā kontā.
Pēc tam, kad lietotājs bija pieteicies savā personīgajā kontā, viņš nekavējoties, mainot URL pārlūkprogrammas adreses joslā, varēja skatīt ziņojumus, kas satur pacientu personas datus un pat medicīniskās diagnozes.
Būtiska problēma bija tā, ka pakalpojums izmanto nepārtrauktu atskaišu numerāciju un jau veido URL no šiem numuriem:
https://[адрес сайта]/…/…/40261/…
Tāpēc pietika iestatīt minimālo atļauto skaitu (7911) un maksimālo (42926 - ievainojamības brīdī), lai aprēķinātu kopējo ziņojumu skaitu (35015) sistēmā un pat (ja bija ļaunprātīgs nolūks) lejupielādētu. tos visus ar vienkāršu skriptu.
Apskatei pieejamie dati bija: pilns ārsta un pacienta vārds, ārsta un pacienta dzimšanas datumi, ārsta un pacienta tālruņa numuri, ārsta un pacienta dzimums, ārsta un pacienta e-pasta adreses, ārsta specializācija. , konsultācijas datums, konsultācijas izmaksas un dažos gadījumos pat diagnoze (kā komentārs ziņojumam).
Šī ievainojamība būtībā ir ļoti līdzīga tai, kas bija mikrofinansēšanas organizācijas “Zaimograd” serverī. Pēc tam, veicot meklēšanu, bija iespējams iegūt 36763 XNUMX līgumus, kuros bija norādīti pilni organizācijas klientu pasu dati.
Kā jau norādīju jau pašā sākumā, Doktors tuvumā darbinieki izrādīja īstu profesionalitāti un, neskatoties uz to, ka par ievainojamību informēju viņus 23:00 (pēc Maskavas laika), piekļuve manam personīgajam kontam tika nekavējoties slēgta visiem, un līdz 1: 00 (Maskavas laiks) šī ievainojamība ir novērsta.
Es nevaru vēlreiz iesist tā paša DOC+ (New Medicine LLC) PR nodaļai. Deklarējot "Neliels datu apjoms uz laiku tika darīts publiski pieejams", viņi aizmirst faktu, ka mūsu rīcībā ir "objektīvās kontroles" dati, proti, meklētājprogramma Shodan. Kā pareizi norādīts šī raksta komentāros - pēc Šodana teiktā, atvērtā ClickHouse servera pirmās fiksācijas datums DOC+ IP adresē: 15.02.2019/03/08 00:17.03.2019:09, pēdējās fiksācijas datums: 52/ 00/40 XNUMX:XNUMX:XNUMX. Datu bāzes lielums ir aptuveni XNUMX GB.
Kopā bija 15 fiksācijas:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00No paziņojuma izriet, ka uz laiku tas ir nedaudz vairāk par mēnesi, bet neliels datu apjoms tas ir aptuveni 40 gigabaiti. Nu es nezinu…
Bet atgriezīsimies pie “Ārsts ir tuvumā”.
Šobrīd manu profesionālo paranoju vajā tikai viena palikusi neliela problēma - pēc servera atbildes var uzzināt atskaišu skaitu sistēmā. Mēģinot iegūt pārskatu no URL, kas nav pieejams (bet pats ziņojums ir pieejams), serveris atgriežas PIEEJA NOLIEGTA, un, kad mēģināt iegūt pārskatu, kas neeksistē, tas atgriežas NAV ATRASTS. Sekojot līdzi atskaišu skaita pieaugumam sistēmā laika gaitā (reizi nedēļā, mēnesī u.c.), var novērtēt pakalpojuma noslogojumu un sniegto pakalpojumu apjomu. Tas, protams, nepārkāpj pacientu un ārstu personas datus, taču tas var būt uzņēmuma komercnoslēpumu pārkāpums.
Avots: www.habr.com