Nog maar een paar dagen geleden heb ik op Habré over hoe de Russische online medische dienst DOC+ erin slaagde een database met gedetailleerde toegangslogs in het publieke domein achter te laten, waaruit gegevens van patiënten en servicemedewerkers konden worden verkregen. En hier is een nieuw incident, met een andere Russische dienst die patiënten online consultaties met artsen biedt - "Doctor Near" (www.drclinics.ru).
Ik zal meteen schrijven dat dankzij de adequaatheid van het Doctor is Near-personeel de kwetsbaarheid snel (2 uur vanaf het moment van melding 's nachts!) werd geëlimineerd en dat er hoogstwaarschijnlijk geen persoonlijke en medische gegevens zijn gelekt. In tegenstelling tot het DOC+ incident, waarbij ik zeker weet dat minimaal één json-bestand met data, 3.5 GB groot, in de ‘open wereld’ terecht is gekomen, en het officiële standpunt er als volgt uitziet: “Er is tijdelijk een kleine hoeveelheid data publiek beschikbaar gekomen, wat niet tot negatieve gevolgen kan leiden voor medewerkers en gebruikers van de DOC+ dienst.".
Met mij, als eigenaar van het Telegram-kanaal "", nam een anonieme abonnee contact op en rapporteerde een potentiële kwetsbaarheid op de website www.drclinics.ru.
De essentie van de kwetsbaarheid was dat u, als u de URL kende en in het systeem onder uw account zat, de gegevens van andere patiënten kon bekijken.
Om een nieuw account te registreren in het Dokter Dichtbij-systeem heb je eigenlijk alleen een mobiel telefoonnummer nodig waarnaar een bevestigings-sms wordt verzonden, zodat niemand problemen kan hebben met inloggen op zijn persoonlijke account.
Nadat de gebruiker was ingelogd op zijn persoonlijke account, kon hij, door de URL in de adresbalk van zijn browser te wijzigen, onmiddellijk rapporten bekijken met persoonlijke gegevens van patiënten en zelfs medische diagnoses.
Een groot probleem was dat de dienst gebruik maakt van doorlopende nummering van meldingen en uit deze cijfers al een URL vormt:
https://[адрес сайта]/…/…/40261/…
Daarom was het voldoende om het minimaal toegestane aantal (7911) en het maximum (42926 - op het moment van de kwetsbaarheid) in te stellen om het totale aantal (35015) rapporten in het systeem te berekenen en zelfs (als er sprake was van kwade bedoelingen) te downloaden ze allemaal met een eenvoudig script.
Tot de gegevens die beschikbaar waren om in te zien, behoorden: volledige naam van de arts en patiënt, geboortedata van de arts en patiënt, telefoonnummers van de arts en patiënt, geslacht van de arts en patiënt, e-mailadressen van de arts en patiënt, specialisatie van de arts , datum van consultatie, kosten van consultatie en in sommige gevallen zelfs diagnose (als commentaar op het rapport).
Deze kwetsbaarheid lijkt in essentie sterk op de kwetsbaarheid die er was op de server van de microfinancieringsorganisatie “Zaimograd”. Vervolgens was het door te zoeken mogelijk om 36763 contracten te verkrijgen met de volledige paspoortgegevens van de klanten van de organisatie.
Zoals ik vanaf het allereerste begin heb aangegeven, hebben de medewerkers van Dokter Dichtbij blijk gegeven van echte professionaliteit en ondanks het feit dat ik hen om 23 uur (Moskou-tijd) op de hoogte had gesteld van de kwetsbaarheid, werd de toegang tot mijn persoonlijke account onmiddellijk voor iedereen afgesloten, en tegen 00: 1 (Moskou-tijd) is deze kwetsbaarheid verholpen.
Ik kan het niet laten om nogmaals de PR-afdeling van dezelfde DOC+ (New Medicine LLC) te schoppen. Verklaren "Een kleine hoeveelheid gegevens is tijdelijk openbaar gemaakt“, verliezen ze uit het oog dat we ‘objectieve controle’-gegevens tot onze beschikking hebben, namelijk de Shodan-zoekmachine. Zoals correct opgemerkt in de commentaren op dat artikel - volgens Shodan, de datum van de eerste fixatie van de open ClickHouse-server op het DOC+ IP-adres: 15.02.2019/03/08 00:17.03.2019:09, datum van de laatste fixatie: 52/ 00/40 XNUMX:XNUMX:XNUMX. De databasegrootte is ongeveer XNUMX GB.
Er waren in totaal 15 fixaties:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Uit de verklaring blijkt dat tijdelijk Het is iets meer dan een maand, maar kleine hoeveelheid gegevens dit is ongeveer 40 gigabyte. Nou, ik weet het niet…
Maar laten we terugkeren naar ‘De dokter is dichtbij’.
Op dit moment wordt mijn professionele paranoia gekweld door slechts één klein probleempje: aan de hand van de serverreactie kunt u het aantal rapporten in het systeem achterhalen. Wanneer u probeert een rapport op te halen van een URL die niet toegankelijk is (maar het rapport zelf is wel beschikbaar), keert de server terug TOEGANG GEWEIGERD, en wanneer u een rapport probeert op te halen dat niet bestaat, keert het terug NIET GEVONDEN. Door de toename van het aantal rapporten in het systeem in de loop van de tijd (eenmaal per week, maand, enz.) te monitoren, kunt u de werklast van de dienst en het volume van de geleverde diensten beoordelen. Dit is uiteraard niet in strijd met de persoonlijke gegevens van patiënten en artsen, maar het kan wel een schending zijn van de bedrijfsgeheimen van het bedrijf.
Bron: www.habr.com