Baru beberapa hari lepas saya on HabrΓ© tentang bagaimana perkhidmatan perubatan dalam talian Rusia DOC+ berjaya meninggalkan pangkalan data dengan log akses terperinci dalam domain awam, yang mana data pesakit dan pekerja perkhidmatan boleh diperolehi. Dan inilah insiden baru, dengan satu lagi perkhidmatan Rusia yang menyediakan pesakit dengan konsultasi dalam talian dengan doktor - "Doktor Berdekatan" (www.drclinics.ru).
Saya akan segera menulis bahawa terima kasih kepada kecukupan kakitangan Doctor is Near, kelemahan dengan cepat (2 jam dari saat pemberitahuan pada waktu malam!) dihapuskan dan kemungkinan besar tiada kebocoran data peribadi dan perubatan. Tidak seperti kejadian DOC+, di mana saya tahu dengan pasti bahawa sekurang-kurangnya satu fail json dengan data, bersaiz 3.5 GB, berakhir di "dunia terbuka", dan kedudukan rasmi kelihatan seperti ini: "Sebilangan kecil data telah tersedia buat sementara waktu, yang tidak boleh membawa kepada akibat negatif kepada pekerja dan pengguna perkhidmatan DOC+.".
Bersama saya, sebagai pemilik saluran Telegram "", seorang pelanggan tanpa nama menghubungi dan melaporkan potensi kelemahan di laman web www.drclinics.ru.
Intipati kelemahan ialah, mengetahui URL dan berada dalam sistem di bawah akaun anda, anda boleh melihat data pesakit lain.
Untuk mendaftarkan akaun baharu dalam sistem Doktor Berdekatan, anda sebenarnya hanya memerlukan nombor telefon mudah alih yang SMS pengesahan dihantar, jadi tiada siapa yang menghadapi sebarang masalah untuk log masuk ke akaun peribadi mereka.
Selepas pengguna melog masuk ke akaun peribadinya, dia boleh serta-merta, dengan menukar URL dalam bar alamat penyemak imbasnya, melihat laporan yang mengandungi data peribadi pesakit dan juga diagnosis perubatan.
Masalah penting ialah perkhidmatan menggunakan penomboran berterusan laporan dan sudah membentuk URL daripada nombor ini:
https://[Π°Π΄ΡΠ΅Ρ ΡΠ°ΠΉΡΠ°]/β¦/β¦/40261/β¦
Oleh itu, sudah cukup untuk menetapkan nombor minimum yang dibenarkan (7911) dan maksimum (42926 - pada masa kelemahan) untuk mengira jumlah bilangan (35015) laporan dalam sistem dan walaupun (jika terdapat niat jahat) muat turun semuanya dengan skrip mudah.
Antara data yang tersedia untuk dilihat ialah: nama penuh doktor dan pesakit, tarikh lahir doktor dan pesakit, nombor telefon doktor dan pesakit, jantina doktor dan pesakit, alamat e-mel doktor dan pesakit, pengkhususan doktor , tarikh perundingan, kos perundingan dan dalam sesetengah kes juga diagnosis (sebagai ulasan kepada laporan).
Kerentanan ini pada asasnya sangat serupa dengan yang sebelumnya pada pelayan organisasi kewangan mikro "Zaimograd". Kemudian, dengan mencari, adalah mungkin untuk mendapatkan 36763 kontrak yang mengandungi data pasport penuh pelanggan organisasi.
Seperti yang saya nyatakan dari awal lagi, pekerja Doktor Berdekatan menunjukkan profesionalisme sebenar dan walaupun saya memaklumkan mereka tentang kelemahan pada pukul 23:00 (waktu Moscow), akses kepada akaun peribadi saya ditutup dengan serta-merta kepada semua orang, dan pada 1: 00 (waktu Moscow) kelemahan ini telah diperbaiki.
Saya tidak boleh membantu tetapi menendang sekali lagi jabatan PR dari DOC+ yang sama (New Medicine LLC). Mengisytiharkan "Sebilangan kecil data telah disediakan untuk sementara waktu", mereka terlepas pandang bahawa kami mempunyai data "kawalan objektif" yang kami gunakan, iaitu enjin carian Shodan. Seperti yang dinyatakan dengan betul dalam ulasan artikel itu - menurut Shodan, tarikh penetapan pertama pelayan ClickHouse terbuka pada alamat IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, tarikh penetapan terakhir: 52/ 00/40 XNUMX:XNUMX:XNUMX. Saiz pangkalan data adalah kira-kira XNUMX GB.
Terdapat 15 penetapan secara keseluruhan:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Daripada kenyataan itu nampaknya buat sementara waktu sebulan lebih sikit, tapi jumlah data yang kecil ini adalah kira-kira 40 gigabait. Saya tidak tahuβ¦
Tetapi mari kembali ke "Doktor Berdekatan."
Pada masa ini, paranoia profesional saya dihantui oleh hanya satu masalah kecil yang tinggal - dengan respons pelayan anda boleh mengetahui bilangan laporan dalam sistem. Apabila anda cuba mendapatkan laporan daripada URL yang tidak boleh diakses (tetapi laporan itu sendiri tersedia), pelayan akan kembali AKSES DINAFIKAN, dan apabila anda cuba mendapatkan laporan yang tidak wujud, laporan itu kembali TIDAK DITEMUI. Dengan memantau peningkatan bilangan laporan dalam sistem dari semasa ke semasa (seminggu sekali, sebulan, dll.), anda boleh menilai beban kerja perkhidmatan dan jumlah perkhidmatan yang disediakan. Ini, sudah tentu, tidak melanggar data peribadi pesakit dan doktor, tetapi ia mungkin melanggar rahsia perdagangan syarikat.
Sumber: www.habr.com