Пред само неколку дена јас на Habré за тоа како рускиот онлајн медицински сервис DOC+ успеал да остави база на податоци со детални дневници за пристап во јавниот домен, од кои може да се добијат податоци за пациентите и вработените во службата. И еве нов инцидент, со друга руска услуга која на пациентите им обезбедува онлајн консултации со лекари - „Доктор во близина“ (www.drclinics.ru).
Веднаш ќе напишам дека благодарение на адекватноста на персоналот Доктор е блиску, ранливоста беше брзо елиминирана (2 часа од моментот на известување во текот на ноќта!) и најверојатно немаше истекување на лични и медицински податоци. За разлика од инцидентот DOC+, каде што со сигурност знам дека барем една json-датотека со податоци, со големина од 3.5 GB, завршила во „отворениот свет“, а официјалната позиција изгледа вака: „Мал број податоци привремено станаа јавно достапни, што не може да доведе до негативни последици за вработените и корисниците на услугата DOC+.".
Со мене, како сопственик на каналот Телеграма ““, контактирал анонимен претплатник и пријавил потенцијална ранливост на веб-страницата www.drclinics.ru.
Суштината на ранливоста беше дека, знаејќи ја URL-то и сте во системот под вашата сметка, можете да ги прегледате податоците на другите пациенти.
За да регистрирате нова сметка во системот Doctor Nearby, всушност, потребен ви е само број на мобилен телефон на кој се испраќа SMS порака за потврда, така што никој не би можел да има никакви проблеми да се најави на својата лична сметка.
Откако корисникот ќе се најави на неговата лична сметка, тој може веднаш, со промена на URL-то во лентата за адреси на неговиот прелистувач, да гледа извештаи што содржат лични податоци на пациенти, па дури и медицински дијагнози.
Значаен проблем беше тоа што услугата користи континуирано нумерирање на извештаи и веќе формира URL од овие броеви:
https://[адрес сайта]/…/…/40261/…
Затоа, доволно беше да се постави минималниот дозволен број (7911) и максималниот (42926 - во моментот на ранливоста) за да се пресмета вкупниот број (35015) на извештаи во системот и дури (ако имало злонамерна намера) преземање сите со едноставна скрипта.
Меѓу достапните податоци за преглед беа: полно име на лекарот и пациентот, датуми на раѓање на лекарот и пациентот, телефонски броеви на лекарот и пациентот, полот на лекарот и пациентот, адресите на е-пошта на лекарот и пациентот, специјализацијата на лекарот. , датум на консултации, трошоци за консултации и во некои случаи дури и дијагноза (како коментар на извештајот).
Оваа ранливост во суштина е многу слична на онаа што беше на серверот на микрофинансиската организација „Заимоград“. Потоа, со пребарување, беше можно да се добијат 36763 договори кои ги содржат целосните податоци за пасошот на клиентите на организацијата.
Како што укажав од самиот почеток, вработените во Доктор Неарби покажаа вистински професионализам и покрај тоа што ги информирав за ранливоста во 23:00 часот (московско време), пристапот до мојата лична сметка веднаш беше затворен за сите, а од 1: 00 (московско време) оваа ранливост е поправена.
Не можам, а да не го убијам уште еднаш одделот за односи со јавноста на истиот DOC+ (New Medicine LLC). изјавувајќи "Мал број на податоци привремено беа јавно достапни“, го губат од вид фактот дека располагаме со податоци за „објективна контрола“, поточно пребарувачот Шодан. Како што е точно забележано во коментарите на тој напис - според Шодан, датумот на првата фиксација на отворениот сервер ClickHouse на IP адресата DOC+: 15.02.2019 03:08:00 часот, датум на последната фиксација: 17.03.2019/ 09 52:00:40 часот. Големината на базата на податоци е околу XNUMX GB.
Имаше вкупно 15 фиксации:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Од изјавата произлегува дека привремено тоа е нешто повеќе од еден месец, но мала количина на податоци ова е приближно 40 гигабајти. Епа незнам…
Но, да се вратиме на „Докторот е во близина“.
Во моментов, мојата професионална параноја е прогонувана од само еден преостанат помал проблем - со одговорот на серверот можете да го дознаете бројот на извештаи во системот. Кога се обидувате да добиете извештај од URL до која не е достапна (но самиот извештај е достапен), серверот се враќа ОДБИЕН ПРИСТАП, и кога ќе се обидете да добиете извештај што не постои, тој се враќа НЕ Е НАЈДЕНО. Со следење на зголемувањето на бројот на извештаи во системот со текот на времето (еднаш неделно, месец, итн.), можете да го процените обемот на работа на услугата и обемот на дадените услуги. Ова, се разбира, не ги нарушува личните податоци на пациентите и лекарите, но може да биде кршење на деловните тајни на компанијата.
Извор: www.habr.com