Apenas alguns dias atrás eu sobre Habré sobre como o serviço médico online russo DOC+ conseguiu deixar de domínio público uma base de dados com registros de acesso detalhados, a partir da qual puderam ser obtidos dados de pacientes e funcionários do serviço. E aqui está um novo incidente, com outro serviço russo que oferece aos pacientes consultas médicas online - “Doctor Near” (www.drclinics.ru).
Escreverei desde já que graças à adequação da equipe do Doctor is Near, a vulnerabilidade foi rapidamente (2 horas a partir do momento da notificação à noite!) eliminada e muito provavelmente não houve vazamento de dados pessoais e médicos. Ao contrário do incidente DOC+, onde tenho certeza que pelo menos um arquivo json com dados, de 3.5 GB, acabou no “mundo aberto”, e a posição oficial é assim: “Uma pequena quantidade de dados tornou-se temporariamente disponível ao público, o que não pode trazer consequências negativas para funcionários e usuários do serviço DOC+.".
Comigo, como dono do canal Telegram "", um assinante anônimo contatou e relatou uma vulnerabilidade potencial no site www.drclinics.ru.
A essência da vulnerabilidade era que, conhecendo a URL e estando no sistema com sua conta, você poderia visualizar os dados de outros pacientes.
Para registar uma nova conta no sistema Doctor Near, na verdade, basta um número de telemóvel para o qual é enviado um SMS de confirmação, para que ninguém tenha problemas em iniciar sessão na sua conta pessoal.
Após o usuário logar em sua conta pessoal, ele poderia imediatamente, alterando a URL na barra de endereços de seu navegador, visualizar relatórios contendo dados pessoais de pacientes e até diagnósticos médicos.
Um problema significativo foi que o serviço utiliza numeração contínua de relatórios e já forma uma URL a partir destes números:
https://[адрес сайта]/…/…/40261/…
Portanto, bastou definir o número mínimo permitido (7911) e o máximo (42926 - no momento da vulnerabilidade) para calcular o número total (35015) de relatórios no sistema e até mesmo (se houve intenção maliciosa) baixar todos eles com um script simples.
Entre os dados disponíveis para visualização estavam: nome completo do médico e do paciente, datas de nascimento do médico e do paciente, telefones do médico e do paciente, sexo do médico e do paciente, endereços eletrônicos do médico e do paciente, especialização do médico , data da consulta, custo da consulta e em alguns casos até diagnóstico (conforme comentário ao relatório).
Esta vulnerabilidade é essencialmente muito semelhante àquela que foi no servidor da organização de microfinanças “Zaimograd”. Então, por meio da pesquisa, foi possível obter 36763 contratos contendo os dados completos dos passaportes dos clientes da organização.
Como indiquei desde o início, os funcionários do Doctor Near demonstraram verdadeiro profissionalismo e apesar de eu os ter informado sobre a vulnerabilidade às 23h00 (hora de Moscovo), o acesso à minha conta pessoal foi imediatamente fechado a todos, e às 1:00: XNUMX (horário de Moscou) esta vulnerabilidade foi corrigida.
Não posso deixar de chutar mais uma vez o departamento de relações públicas do mesmo DOC+ (New Medicine LLC). Declarando "Uma pequena quantidade de dados foi temporariamente disponibilizada publicamente“, perdem de vista que temos à nossa disposição dados de “controlo objectivo”, nomeadamente o motor de busca Shodan. Conforme corretamente observado nos comentários desse artigo - segundo Shodan, data da primeira fixação do servidor ClickHouse aberto no endereço IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data da última fixação: 52/ 00/40 XNUMX:XNUMX:XNUMX. O tamanho do banco de dados é de cerca de XNUMX GB.
Foram 15 fixações no total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Da declaração parece que temporariamente é um pouco mais de um mês, mas pequena quantidade de dados isso é aproximadamente 40 gigabytes. Bem eu não sei…
Mas voltemos a “O médico está próximo”.
No momento, minha paranóia profissional é assombrada por apenas um pequeno problema restante - pela resposta do servidor você pode descobrir a quantidade de relatórios no sistema. Quando você tenta obter um relatório de uma URL que não está acessível (mas o relatório em si está disponível), o servidor retorna ACESSO NEGADO, e quando você tenta obter um relatório que não existe, ele retorna NÃO ENCONTRADO. Ao monitorar o aumento do número de relatórios no sistema ao longo do tempo (uma vez por semana, mês, etc.), é possível avaliar a carga de trabalho do serviço e o volume de serviços prestados. Isto, claro, não viola os dados pessoais de pacientes e médicos, mas pode ser uma violação dos segredos comerciais da empresa.
Fonte: habr.com