For bare et par dager siden på Habré om hvordan den russiske nettmedisinske tjenesten DOC+ klarte å etterlate en database med detaljerte tilgangslogger i det offentlige domene, hvorfra data om pasienter og tjenesteansatte kunne hentes. Og her er en ny hendelse, med en annen russisk tjeneste som gir pasienter online konsultasjoner med leger - "Doctor Nearby" (www.drclinics.ru).
Jeg vil skrive med en gang at takket være tilstrekkeligheten til Doctor is Near-personalet, ble sårbarheten raskt (2 timer fra varslingsøyeblikket om natten!) eliminert, og mest sannsynlig var det ingen lekkasje av personlige og medisinske data. I motsetning til DOC+-hendelsen, hvor jeg med sikkerhet vet at minst én json-fil med data, 3.5 GB i størrelse, havnet i den "åpne verden", og den offisielle posisjonen ser slik ut: "En liten mengde data er midlertidig blitt offentlig tilgjengelig, noe som ikke kan føre til negative konsekvenser for ansatte og brukere av DOC+-tjenesten.".
Med meg, som eier av Telegram-kanalen "", kontaktet en anonym abonnent og rapporterte en potensiell sårbarhet på nettstedet www.drclinics.ru.
Essensen av sårbarheten var at du kunne se dataene til andre pasienter ved å kjenne URL-en og være i systemet under kontoen din.
For å registrere en ny konto i Doctor Nearby-systemet trenger du faktisk bare et mobilnummer som det sendes en bekreftelses-SMS til, så ingen kan få problemer med å logge på sin personlige konto.
Etter at brukeren logget på sin personlige konto, kunne han umiddelbart, ved å endre URL-en i adressefeltet til nettleseren, se rapporter som inneholder personopplysninger om pasienter og til og med medisinske diagnoser.
Et betydelig problem var at tjenesten bruker kontinuerlig nummerering av rapporter og allerede danner en URL fra disse tallene:
https://[адрес сайта]/…/…/40261/…
Derfor var det nok å angi minimum tillatt antall (7911) og maksimum (42926 - på tidspunktet for sårbarheten) for å beregne det totale antallet (35015) rapporter i systemet og til og med (hvis det var ondsinnet hensikt) nedlasting dem alle med et enkelt manus.
Blant dataene som var tilgjengelige for visning var: fullt navn på legen og pasienten, fødselsdatoen til legen og pasienten, telefonnummeret til legen og pasienten, kjønn på legen og pasienten, e-postadressene til legen og pasienten, legens spesialisering , dato for konsultasjon, kostnad for konsultasjon og i noen tilfeller til og med diagnose (som kommentar til rapporten).
Denne sårbarheten er i hovedsak veldig lik den som var på serveren til mikrofinansorganisasjonen "Zaimograd". Deretter, ved å søke, var det mulig å få tak i 36763 XNUMX kontrakter som inneholder alle passdataene til organisasjonens kunder.
Som jeg indikerte helt fra begynnelsen, viste Doctor Nearby-ansatte ekte profesjonalitet, og til tross for at jeg informerte dem om sårbarheten klokken 23:00 (Moskva-tid), ble tilgangen til min personlige konto umiddelbart stengt for alle, og innen 1: 00 (Moskva-tid) er dette sikkerhetsproblemet løst.
Jeg kan ikke la være å sparke igjen PR-avdelingen til samme DOC+ (New Medicine LLC). Erklærer "En liten mengde data ble midlertidig gjort offentlig tilgjengelig«, de mister av syne at vi har «objektiv kontroll»-data til rådighet, nemlig Shodan-søkemotoren. Som korrekt bemerket i kommentarene til den artikkelen - ifølge Shodan, datoen for den første fikseringen av den åpne ClickHouse-serveren på DOC+ IP-adressen: 15.02.2019/03/08 00:17.03.2019:09, datoen for siste fiksering: 52/ 00/40 XNUMX:XNUMX:XNUMX. Databasestørrelsen er omtrent XNUMX GB.
Det var totalt 15 fikseringer:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Av uttalelsen fremgår det at midlertidig det er litt over en måned, men liten mengde data dette er omtrent 40 gigabyte. Vell jeg vet ikke…
Men la oss gå tilbake til «The Doctor Is Nearby».
For øyeblikket er min profesjonelle paranoia hjemsøkt av bare ett gjenværende mindre problem - ved serverresponsen kan du finne ut antall rapporter i systemet. Når du prøver å få en rapport fra en URL som ikke er tilgjengelig (men selve rapporten er tilgjengelig), returnerer serveren INGEN TILGANG, og når du prøver å få en rapport som ikke eksisterer, kommer den tilbake IKKE FUNNET. Ved å overvåke økningen i antall rapporter i systemet over tid (en gang i uken, måned osv.), kan du vurdere tjenestens arbeidsbelastning og omfanget av tjenester som tilbys. Dette krenker selvfølgelig ikke personopplysningene til pasienter og leger, men det kan være et brudd på selskapets forretningshemmeligheter.
Kilde: www.habr.com