प्रोहोस्टर > Блог > प्रशासन > तुमची सर्व विश्लेषणे सार्वजनिकरीत्या उपलब्ध आहेत

तुमची सर्व विश्लेषणे सार्वजनिकरीत्या उपलब्ध आहेत

हॅलो पुन्हा! मला तुमच्यासाठी वैद्यकीय डेटासह एक खुला डेटाबेस पुन्हा सापडला आहे. मी तुम्हाला आठवण करून देतो की अलीकडेच या विषयावर माझे तीन लेख होते: ऑनलाइन वैद्यकीय सेवा DOC+ मधून रुग्ण आणि डॉक्टरांचा वैयक्तिक डेटा लीक, "डॉक्टर जवळील" सेवेची असुरक्षा и रुग्णवाहिका स्थानकांमधून डेटा लीक.

तुमची सर्व विश्लेषणे सार्वजनिकरीत्या उपलब्ध आहेत

यावेळी, प्रयोगशाळेच्या नेटवर्कच्या वैद्यकीय आयटी सिस्टममधील लॉगसह इलास्टिकसर्च सर्व्हर सार्वजनिकपणे उपलब्ध होता.आण्विक निदान केंद्र"(सीएमडी, www.cmd-online.ru).

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

1 एप्रिलच्या सकाळी सर्व्हरचा शोध लागला आणि तो मला अजिबात मजेदार वाटला नाही. सुमारे 10 वाजता (मॉस्को वेळ) या समस्येची सूचना सीएमडीकडे गेली आणि सुमारे 15:00 वाजता डेटाबेस प्रवेश करण्यायोग्य झाला.

Shodan शोध इंजिननुसार, हा सर्व्हर प्रथम 09.03.2019/XNUMX/XNUMX रोजी सार्वजनिकपणे उपलब्ध करण्यात आला होता. त्या बद्दल इलास्टिकसर्च ओपन डेटाबेस कसे शोधते, मी एक स्वतंत्र लेख लिहिला.

लॉगमधून अतिशय संवेदनशील माहिती मिळू शकते, यासह पूर्ण नाव, लिंग, रुग्णांच्या जन्मतारीख, डॉक्टरांची पूर्ण नावे, संशोधनाची किंमत, संशोधन डेटा, स्क्रीनिंग निकालांसह फाइल्स आणि बरेच काही

रुग्ण चाचणी परिणामांसह लॉगचे उदाहरण:

"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///

मी सर्व संवेदनशील डेटा "X" ने भरला आहे. प्रत्यक्षात सर्व काही उघडे ठेवले होते.

अशा नोंदींमधून (बेस64 वरून रूपांतरित करून) स्क्रीनिंग परिणामांसह PNG फायली मिळवणे सोपे होते, आधीच वाचण्यास-सोप्या स्वरूपात:

तुमची सर्व विश्लेषणे सार्वजनिकरीत्या उपलब्ध आहेत

लॉगचा एकूण आकार 400 MB पेक्षा जास्त आहे आणि एकूण त्यामध्ये एक दशलक्षाहून अधिक नोंदी आहेत. हे स्पष्ट आहे की प्रत्येक रेकॉर्ड अद्वितीय रुग्ण डेटा दर्शवत नाही.

सीएमडीकडून अधिकृत प्रतिसाद:

01.04.2019 एप्रिल XNUMX रोजी इलास्टिकसर्च एरर लॉगिंग आणि स्टोरेज डेटाबेसमध्ये भेद्यतेच्या उपस्थितीबद्दल माहिती त्वरित प्रसारित केल्याबद्दल आम्ही तुमचे आभार मानू इच्छितो.

या माहितीच्या आधारे, आमचे कर्मचारी, संबंधित तज्ञांसह, निर्दिष्ट डेटाबेसमध्ये मर्यादित प्रवेश करतात. तांत्रिक डेटाबेसमध्ये गोपनीय माहिती हस्तांतरित करताना त्रुटी दूर करण्यात आली आहे.

घटनेच्या विश्लेषणादरम्यान, हे शोधणे शक्य झाले की सार्वजनिक डोमेनमध्ये त्रुटी लॉगसह निर्दिष्ट डेटाबेसचे स्वरूप मानवी घटकाशी संबंधित कारणामुळे होते. 01.04.2019/XNUMX/XNUMX रोजी डेटावरील प्रवेश त्वरित बंद करण्यात आला.

याक्षणी, अंतर्गत आणि बाह्य तज्ञ डेटा संरक्षणासाठी आयटी इन्फ्रास्ट्रक्चरचे अतिरिक्त ऑडिट करण्यासाठी उपाय करत आहेत.

आमच्या संस्थेने वैयक्तिक डेटासह कार्य करण्यासाठी विशेष नियम आणि कर्मचारी जबाबदारीच्या पातळीची प्रणाली विकसित केली आहे.

वर्तमान सॉफ्टवेअर इन्फ्रास्ट्रक्चर एरर संचयित करण्यासाठी इलास्टिकसर्च डेटाबेस वापरते. काही सिस्टमची विश्वासार्हता सुधारण्यासाठी, संबंधित सर्व्हर आमच्या भागीदाराच्या डेटा सेंटरमध्ये, प्रमाणित सॉफ्टवेअर आणि हार्डवेअर वातावरणात स्थलांतरित केले जातील.

वेळेवर माहिती दिल्याबद्दल धन्यवाद.

माझ्या टेलिग्राम चॅनेलवर माहिती लीक आणि आतल्या गोष्टींबद्दलच्या बातम्या नेहमी आढळू शकतात "माहिती लीक».

स्त्रोत: www.habr.com

एक टिप्पणी जोडा