फेरी अभिवादन! मैले फेरि तपाईको लागि मेडिकल डाटाको साथ खुला डाटाबेस फेला पारेको छु। म तपाईंलाई सम्झाउन दिनुहोस् कि भर्खरै यस विषयमा मेरा तीनवटा लेखहरू थिए: , и .
यस पटक, प्रयोगशाला नेटवर्कको मेडिकल आईटी प्रणालीबाट लगहरू सहितको Elasticsearch सर्भर सार्वजनिक रूपमा उपलब्ध थियो।आणविक निदान को लागि केन्द्र"(CMD, www.cmd-online.ru)।
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
सर्भर अप्रिल १ को बिहान फेला परेको थियो र यो मलाई हास्यास्पद लागेन। समस्याको बारेमा सूचना लगभग 1 बजे (मस्को समय) मा सीएमडीमा गयो र लगभग 10:15 मा डाटाबेस पहुँचयोग्य भयो।
Shodan खोज इन्जिनका अनुसार, यो सर्भर पहिलो पटक 09.03.2019/XNUMX/XNUMX मा सार्वजनिक रूपमा उपलब्ध गराइएको थियो। त्यसको बारेमा , मैले छुट्टै लेख लेखें।
धेरै संवेदनशील जानकारी लगहरूबाट प्राप्त गर्न सकिन्छ, सहित पूरा नाम, लिङ्ग, बिरामीको जन्म मिति, डाक्टरहरूको पूरा नाम, अनुसन्धान लागत, अनुसन्धान डेटा, स्क्रिनिङ परिणामहरू सहित फाइलहरू र धेरै बढी।
बिरामी परीक्षण परिणामहरूको साथ लगको उदाहरण:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///मैले "X" को साथ सबै संवेदनशील डेटा भरेको छु। वास्तवमा, सबै कुरा खुला राखिएको थियो।
त्यस्ता लगहरूबाट यो सजिलो थियो (Base64 बाट रूपान्तरण गरेर) स्क्रिनिङ परिणामहरूसँग PNG फाइलहरू प्राप्त गर्न, पहिले नै पढ्न-गर्न-सजिलो फारममा:
लगहरूको कुल आकार 400 MB नाघेको छ र कुलमा तिनीहरूमा एक मिलियन भन्दा बढी प्रविष्टिहरू छन्। यो स्पष्ट छ कि प्रत्येक रेकर्डले अद्वितीय रोगी डेटा प्रतिनिधित्व गर्दैन।
सीएमडीबाट आधिकारिक प्रतिक्रिया:
Elasticsearch त्रुटि लगिङ र भण्डारण डाटाबेसमा एउटा जोखिमको उपस्थितिको बारेमा अप्रिल 01.04.2019, XNUMX मा तुरुन्तै जानकारी पठाउनु भएकोमा हामी तपाईंलाई धन्यवाद दिन चाहन्छौं।
यस जानकारीको आधारमा, हाम्रा कर्मचारीहरू, सम्बन्धित विशेषज्ञहरूसँग, निर्दिष्ट डाटाबेसमा सीमित पहुँच। प्राविधिक डाटाबेसमा गोप्य सूचना हस्तान्तरण गर्दा त्रुटि फिक्स गरिएको छ।
घटनाको विश्लेषणको क्रममा, यो पत्ता लगाउन सम्भव थियो कि सार्वजनिक डोमेनमा त्रुटि लगहरूसँग निर्दिष्ट डाटाबेसको उपस्थिति मानव कारकसँग सम्बन्धित कारणको कारण थियो। 01.04.2019/XNUMX/XNUMX मा डाटामा पहुँच तुरुन्तै बन्द गरिएको थियो।
हाल, आन्तरिक र बाह्य विशेषज्ञहरूले डाटा सुरक्षाको लागि IT पूर्वाधारको अतिरिक्त लेखा परीक्षण गर्न उपायहरू गरिरहेका छन्।
हाम्रो संगठनले व्यक्तिगत डेटा र कर्मचारी जिम्मेवारीको स्तरको प्रणालीसँग काम गर्न विशेष नियमहरू विकास गरेको छ।
हालको सफ्टवेयर पूर्वाधारले त्रुटिहरू भण्डारण गर्न Elasticsearch डाटाबेस प्रयोग गर्दछ। केही प्रणालीहरूको विश्वसनीयता सुधार गर्न, सम्बन्धित सर्भरहरूलाई हाम्रो साझेदारको डेटा केन्द्र, प्रमाणित सफ्टवेयर र हार्डवेयर वातावरणमा स्थानान्तरण गरिनेछ।
समयमै जानकारी दिनु भएकोमा धन्यवाद।
सूचना चुहावट र भित्री कुराहरू बारे समाचार सधैं मेरो टेलिग्राम च्यानलमा फेला पार्न सकिन्छ ""।
स्रोत: www.habr.com