Cu doar câteva zile în urmă am pe Habré despre modul în care serviciul medical online rus DOC+ a reușit să lase o bază de date cu jurnalele de acces detaliate în domeniul public, din care se puteau obține date despre pacienți și angajați ai serviciului. Și iată un nou incident, cu un alt serviciu rusesc care oferă pacienților consultații online cu medici - „Doctor Nearby” (www.drclinics.ru).
Voi scrie imediat că datorită adecvării personalului Doctor is Near, vulnerabilitatea a fost rapid eliminată (2 ore din momentul sesizării pe timp de noapte!) și cel mai probabil nu a existat nicio scurgere de date personale și medicale. Spre deosebire de incidentul DOC+, unde știu sigur că cel puțin un fișier json cu date, de 3.5 GB, a ajuns în „lumea deschisă”, iar poziția oficială arată așa: „O cantitate mică de date a devenit temporar disponibilă publicului, ceea ce nu poate duce la consecințe negative pentru angajații și utilizatorii serviciului DOC+.“.
Cu mine, ca proprietar al canalului Telegram "„, a contactat un abonat anonim și a raportat o potențială vulnerabilitate pe site-ul www.drclinics.ru.
Esența vulnerabilității a fost că, cunoscând adresa URL și fiind în sistemul de sub contul dvs., puteți vizualiza datele altor pacienți.
Pentru a înregistra un cont nou în sistemul Doctor Nearby, ai nevoie de fapt doar de un număr de telefon mobil la care i se trimite un SMS de confirmare, astfel încât nimeni să nu aibă probleme la autentificarea în contul personal.
După ce utilizatorul s-a autentificat în contul său personal, acesta putea imediat, prin schimbarea adresei URL din bara de adrese a browserului său, să vadă rapoarte care conțin date personale ale pacienților și chiar diagnostice medicale.
O problemă semnificativă a fost că serviciul folosește numerotarea continuă a rapoartelor și formează deja o adresă URL din aceste numere:
https://[адрес сайта]/…/…/40261/…
Prin urmare, a fost suficient să setați numărul minim permis (7911) și cel maxim (42926 - la momentul vulnerabilității) pentru a calcula numărul total (35015) de rapoarte din sistem și chiar (dacă a existat intenție rău intenționată) descărcare. pe toate cu un script simplu.
Printre datele disponibile pentru vizualizare au fost: numele complet al medicului și pacientului, datele nașterii medicului și pacientului, numerele de telefon ale medicului și pacientului, sexul medicului și pacientului, adresele de email ale medicului și pacientului, specializarea medicului , data consultării, costul consultării și în unele cazuri chiar diagnosticul ( ca comentariu la raport).
Această vulnerabilitate este în esență foarte asemănătoare cu cea care a fost pe serverul organizației de microfinanțare „Zaimograd”. Apoi, prin căutare, s-au putut obține 36763 de contracte care conțineau datele complete ale pașapoartelor clienților organizației.
După cum am indicat de la bun început, angajații Doctor Nearby au dat dovadă de un real profesionalism și, în ciuda faptului că i-am informat despre vulnerabilitate la ora 23:00 (ora Moscovei), accesul la contul meu personal a fost imediat închis tuturor, iar până la 1: 00 (ora Moscovei) această vulnerabilitate a fost remediată.
Nu pot să nu dau din nou cu piciorul departamentului de PR al aceluiași DOC+ (New Medicine LLC). Declararea "O cantitate mică de date a fost pusă temporar la dispoziția publicului„, pierd din vedere faptul că avem la dispoziție date de „control obiectiv” și anume motorul de căutare Shodan. După cum sa menționat corect în comentariile la articolul respectiv - conform lui Shodan, data primei fixări a serverului ClickHouse deschis pe adresa IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, data ultimei fixări: 52/ 00/40 XNUMX:XNUMX:XNUMX. Dimensiunea bazei de date este de aproximativ XNUMX GB.
Au fost 15 fixări în total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Din declarație reiese că temporar este puțin peste o lună, dar cantitate mică de date este de aproximativ 40 de gigaocteți. Ei bine nu stiu…
Dar să revenim la „Doctorul este în apropiere”.
În acest moment, paranoia mea profesională este bântuită de o singură problemă minoră rămasă - prin răspunsul serverului puteți afla numărul de rapoarte din sistem. Când încercați să obțineți un raport de la o adresă URL care nu este accesibilă (dar raportul în sine este disponibil), serverul revine ACCES INTERZIS, iar când încercați să obțineți un raport care nu există, acesta revine NU A FOST GASIT. Prin monitorizarea creșterii în timp a numărului de rapoarte din sistem (o dată pe săptămână, lună etc.), puteți evalua volumul de muncă al serviciului și volumul serviciilor furnizate. Acest lucru, desigur, nu încalcă datele personale ale pacienților și medicilor, dar poate fi o încălcare a secretelor comerciale ale companiei.
Sursa: www.habr.com