Zaledwie kilka dni temu I w sprawie Habré o tym, jak rosyjskiemu internetowemu serwisowi medycznemu DOC+ udało się pozostawić w domenie publicznej bazę danych ze szczegółowymi logami dostępu, z których można było pozyskać dane pacjentów i pracowników obsługi. A oto nowy incydent z innym rosyjskim serwisem zapewniającym pacjentom konsultacje z lekarzami online - „Doktor w pobliżu” (www.drclinics.ru).
Od razu napiszę, że dzięki adekwatności personelu Doctor is Near luka została szybko (2 godziny od momentu zgłoszenia w nocy!) wyeliminowana i najprawdopodobniej nie doszło do wycieku danych personalnych i medycznych. Inaczej niż w przypadku incydentu DOC+, gdzie wiem na pewno, że co najmniej jeden plik json z danymi o rozmiarze 3.5 GB trafił do „otwartego świata”, a oficjalne stanowisko wygląda tak: „Niewielka ilość danych została tymczasowo udostępniona publicznie, co nie może powodować negatywnych konsekwencji dla pracowników i użytkowników usługi DOC+.".
Ze mną, jako właściciel kanału Telegram ””, anonimowy subskrybent skontaktował się i zgłosił potencjalną lukę w zabezpieczeniach witryny www.drclinics.ru.
Istota podatności polegała na tym, że znając adres URL i będąc w systemie pod swoim kontem, można było przeglądać dane innych pacjentów.
Do zarejestrowania nowego konta w systemie Doctor Nearby wystarczy właściwie tylko numer telefonu komórkowego, na który zostanie wysłana wiadomość SMS z potwierdzeniem, dzięki czemu nikt nie będzie miał problemu z zalogowaniem się na swoje konto osobiste.
Po zalogowaniu się na swoje konto osobiste użytkownik mógł od razu, zmieniając adres URL w pasku adresowym swojej przeglądarki, przeglądać raporty zawierające dane osobowe pacjentów, a nawet diagnozy lekarskie.
Istotnym problemem było to, że usługa stosuje ciągłą numerację raportów i już z tych numerów tworzy URL:
https://[адрес сайта]/…/…/40261/…
Dlatego wystarczyło ustawić minimalną dozwoloną liczbę (7911) i maksymalną (42926 - w momencie wystąpienia luki), aby obliczyć całkowitą liczbę (35015) raportów w systemie i nawet (jeśli istniał zamiar złośliwy) pobrać je wszystkie za pomocą prostego skryptu.
Wśród danych dostępnych do wglądu znalazły się: imię i nazwisko lekarza i pacjenta, daty urodzenia lekarza i pacjenta, numery telefonów lekarza i pacjenta, płeć lekarza i pacjenta, adresy e-mail lekarza i pacjenta, specjalizacja lekarza , termin konsultacji, koszt konsultacji, a w niektórych przypadkach nawet diagnozy (jako komentarz do raportu).
Luka ta jest zasadniczo bardzo podobna do poprzedniej na serwerze organizacji mikrofinansowej „Zaimograd”. Następnie w drodze wyszukiwania udało się pozyskać 36763 XNUMX umów zawierających pełne dane paszportowe klientów organizacji.
Jak wskazywałem od samego początku, pracownicy Doctor Nearby wykazali się prawdziwym profesjonalizmem i pomimo tego, że poinformowałem ich o luce o godzinie 23:00 (czasu moskiewskiego), dostęp do mojego konta osobistego został natychmiast zamknięty dla wszystkich, a o 1:00: XNUMX (czasu moskiewskiego) ta luka została naprawiona.
Nie mogę się powstrzymać, żeby jeszcze raz nie kopnąć działu PR tego samego DOC+ (New Medicine LLC). Oświadczenie „Niewielka ilość danych została tymczasowo udostępniona publicznie„, tracą z oczu fakt, że mamy do dyspozycji dane „obiektywnej kontroli”, czyli wyszukiwarkę Shodan. Jak słusznie zauważono w komentarzach do tego artykułu – według Shodana data pierwszej fiksacji otwartego serwera ClickHouse na adresie IP DOC+: 15.02.2019 03:08:00, data ostatniej fiksacji: 17.03.2019/ 09 52:00:40. Rozmiar bazy danych wynosi około XNUMX GB.
Łącznie odbyło się 15 fiksacji:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Z wypowiedzi wynika, że tymczasowo to trochę ponad miesiąc, ale mała ilość danych to około 40 gigabajtów. Cóż, nie wiem…
Wróćmy jednak do „Doktor jest w pobliżu”.
W tej chwili moją zawodową paranoję dręczy tylko jeden drobny problem - po odpowiedzi serwera można dowiedzieć się o liczbie raportów w systemie. Gdy próbujesz uzyskać raport z adresu URL, który jest niedostępny (ale sam raport jest dostępny), serwer powraca BRAK DOSTĘPU, a gdy spróbujesz uzyskać raport, który nie istnieje, raport powraca NIE ZNALEZIONO. Monitorując wzrost liczby raportów w systemie w czasie (raz w tygodniu, miesiącu itp.) możesz ocenić obciążenie usługą i wolumen świadczonych usług. Nie narusza to oczywiście danych osobowych pacjentów i lekarzy, jednak może stanowić naruszenie tajemnicy handlowej firmy.
Źródło: www.habr.com