Ftit tal-jiem ilu biss fuq Habré dwar kif is-servizz mediku online Russu DOC+ irnexxielu jħalli database b’logs ta’ aċċess dettaljati fid-dominju pubbliku, li minnha setgħet tinkiseb data ta’ pazjenti u impjegati tas-servizz. U hawn inċident ġdid, b'servizz Russu ieħor li jipprovdi lill-pazjenti b'konsultazzjonijiet onlajn mat-tobba - "Doctor Nearby" (www.drclinics.ru).
Se nikteb minnufih li grazzi għall-adegwatezza tal-persunal tat-Tabib huwa Qrib, il-vulnerabbiltà ġiet eliminata malajr (sagħtejn mill-mument tan-notifika bil-lejl!) u x'aktarx ma kien hemm l-ebda tnixxija ta 'dejta personali u medika. B'differenza mill-inċident DOC+, fejn naf żgur li mill-inqas fajl json wieħed bid-dejta, 2 GB fid-daqs, spiċċa fid-"dinja miftuħa", u l-pożizzjoni uffiċjali tidher bħal din: "Ammont żgħir ta' dejta temporanjament saret disponibbli pubblikament, li ma tistax twassal għal konsegwenzi negattivi għall-impjegati u l-utenti tas-servizz DOC+.".
Miegħi, bħala s-sid tal-kanal Telegram "", abbonat anonimu kkuntattja u rrapporta vulnerabbiltà potenzjali fuq il-websajt www.drclinics.ru.
L-essenza tal-vulnerabbiltà kienet li, meta tkun taf il-URL u tkun fis-sistema taħt il-kont tiegħek, tista 'tara d-dejta ta' pazjenti oħra.
Biex tirreġistra kont ġdid fis-sistema Doctor Nearby, fil-fatt għandek bżonn biss numru tat-telefon ċellulari li lilu jintbagħat SMS ta’ konferma, sabiex ħadd ma jista’ jkollu problemi biex jidħol fil-kont personali tiegħu.
Wara li l-utent illoggja fil-kont personali tiegħu, huwa jista 'minnufih, billi jibdel il-URL fil-bar tal-indirizz tal-browser tiegħu, jara rapporti li fihom data personali tal-pazjenti u anke dijanjosi mediċi.
Problema sinifikanti kienet li s-servizz juża numerazzjoni kontinwa tar-rapporti u diġà jifforma URL minn dawn in-numri:
https://[адрес сайта]/…/…/40261/…
Għalhekk, kien biżżejjed li jiġi stabbilit in-numru minimu permess (7911) u l-massimu (42926 - fiż-żmien tal-vulnerabbiltà) biex jiġi kkalkulat in-numru totali (35015) ta 'rapporti fis-sistema u anke (jekk kien hemm intenzjoni malizzjuża) download lilhom kollha b'kitba sempliċi.
Fost id-dejta disponibbli għall-wiri kien hemm: l-isem sħiħ tat-tabib u l-pazjent, id-dati tat-twelid tat-tabib u l-pazjent, in-numri tat-telefon tat-tabib u l-pazjent, is-sess tat-tabib u l-pazjent, l-indirizzi tal-email tat-tabib u l-pazjent, l-ispeċjalizzazzjoni tat-tabib , id-data tal-konsultazzjoni, l-ispiża tal-konsultazzjoni u f'xi każijiet anke dijanjosi (bħala kumment għar-rapport).
Din il-vulnerabbiltà hija essenzjalment simili ħafna għal dik li kienet fuq is-server tal-organizzazzjoni tal-mikrofinanzjament "Zaimograd". Imbagħad, bit-tfittxija, kien possibbli li jinkisbu 36763 kuntratt li fihom id-dejta sħiħa tal-passaporti tal-klijenti tal-organizzazzjoni.
Kif indikajt mill-bidu nett, l-impjegati Doctor Nearby wrew professjonaliżmu reali u minkejja l-fatt li infurmajthom dwar il-vulnerabbiltà fit-23:00 (ħin ta 'Moska), l-aċċess għall-kont personali tiegħi kien immedjatament magħluq għal kulħadd, u sa 1: 00 (ħin ta' Moska) din il-vulnerabbiltà ġiet iffissata.
Ma nistax ma nagħtix bidu għal darb'oħra lid-dipartiment tal-PR tal-istess DOC+ (New Medicine LLC). tiddikjara "Ammont żgħir ta' data kienet temporanjament disponibbli għall-pubbliku", jitilfu l-fatt li għandna dejta ta '"kontroll oġġettiv" għad-dispożizzjoni tagħna, jiġifieri l-magna tat-tiftix Shodan. Kif innotat b'mod korrett fil-kummenti għal dak l-artikolu - skont Shodan, id-data tal-ewwel iffissar tas-server ClickHouse miftuħ fuq l-indirizz IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data tal-aħħar fissazzjoni: 52/ 00/40 XNUMX:XNUMX:XNUMX. Id-daqs tad-database huwa madwar XNUMX GB.
Kien hemm 15-il fissazzjoni b’kollox:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Mill-istqarrija jidher li temporanjament huwa ftit aktar minn xahar, iżda ammont żgħir ta’ data dan huwa madwar 40 gigabytes. Tajjeb ma nafx...
Imma ejja nerġgħu lura għal "The Doctor Is Nearby."
Bħalissa, il-paranojja professjonali tiegħi hija mħassra minn problema minuri waħda biss li fadal - bir-rispons tas-server tista 'ssib in-numru ta' rapporti fis-sistema. Meta tipprova tikseb rapport minn URL li mhux aċċessibbli (iżda r-rapport innifsu huwa disponibbli), is-server jirritorna AĊĊESS MIĊĦUD, u meta tipprova tikseb rapport li ma jeżistix, jirritorna MA NSTABX. Billi timmonitorja ż-żieda fin-numru ta 'rapporti fis-sistema matul iż-żmien (darba fil-ġimgħa, xahar, eċċ.), tista' tivvaluta l-ammont ta 'xogħol tas-servizz u l-volum tas-servizzi pprovduti. Dan, ovvjament, ma jiksirx id-dejta personali tal-pazjenti u t-tobba, iżda jista 'jkun ksur tas-sigrieti kummerċjali tal-kumpanija.
Sors: www.habr.com