ڪجھ ڏينهن اڳ آء Habré تي ٻڌايو ته ڪيئن روسي آن لائين ميڊيڪل سروس DOC + پبلڪ ڊومين ۾ تفصيلي رسائي لاگ سان گڏ ڊيٽابيس ڇڏڻ جو انتظام ڪيو، جتان مريضن ۽ سروس ملازمن جي ڊيٽا حاصل ڪري سگھجي ٿي. ۽ هتي هڪ نئون واقعو آهي، هڪ ٻي روسي سروس سان جيڪا مريضن کي ڊاڪٽرن سان آن لائن صلاحون فراهم ڪري ٿي - "ڊاڪٽر ويجھي" (www.drclinics.ru).
مان فوري طور تي لکندس ته ڊاڪٽر جي ڪافي هجڻ جي ڪري عملي جي ويجهو آهي، خطري کي جلدي ختم ڪيو ويو (رات جو نوٽيفڪيشن جي لمحن کان 2 ڪلاڪ!) ۽ گهڻو ڪري ذاتي ۽ طبي ڊيٽا جي ڪا به ليڪ نه هئي. DOC + واقعي جي برعڪس، جتي مان پڪ سان ڄاڻان ٿو ته گهٽ ۾ گهٽ هڪ json فائل ڊيٽا سان، 3.5 GB سائيز ۾، "اوپن ورلڊ" ۾ ختم ٿي وئي، ۽ سرڪاري پوزيشن هن طرح نظر اچي ٿي: "ڊيٽا جي هڪ ننڍڙي رقم عارضي طور تي عوامي طور تي دستياب ٿي چڪي آهي، جيڪا DOC + سروس جي ملازمن ۽ استعمال ڪندڙن لاءِ منفي نتيجا نه ٿي سگهي.".
مون سان گڏ، ٽيليگرام چينل جي مالڪ جي حيثيت سان ""، هڪ گمنام سبسڪرائبر رابطو ڪيو ۽ ويب سائيٽ www.drclinics.ru تي هڪ امڪاني نقصان جي اطلاع ڏني.
خطري جو خلاصو اهو هو ته، URL کي ڄاڻڻ ۽ توهان جي اڪائونٽ هيٺ سسٽم ۾ هجڻ سان، توهان ٻين مريضن جي ڊيٽا ڏسي سگهو ٿا.
Doctor Nearby سسٽم ۾ نئون اڪائونٽ رجسٽر ڪرڻ لاءِ، توهان کي اصل ۾ صرف هڪ موبائل فون نمبر جي ضرورت آهي جنهن تي هڪ تصديقي ايس ايم ايس موڪليو ويو آهي، تنهنڪري ڪنهن کي به پنهنجي ذاتي اڪائونٽ ۾ لاگ ان ٿيڻ ۾ ڪا به پريشاني نه ٿي سگهي.
صارف جي پنهنجي ذاتي اڪائونٽ ۾ لاگ ان ٿيڻ کان پوء، هو فوري طور تي، پنهنجي برائوزر جي ايڊريس بار ۾ URL کي تبديل ڪندي، مريضن جي ذاتي ڊيٽا ۽ طبي تشخيص تي مشتمل رپورٽون ڏسي سگهي ٿو.
هڪ اهم مسئلو اهو هو ته خدمت مسلسل رپورٽن جي انگن اکرن کي استعمال ڪندي آهي ۽ اڳ ۾ ئي انهن نمبرن مان هڪ URL ٺاهيندي آهي:
https://[адрес сайта]/…/…/40261/…
تنهن ڪري، اهو ڪافي هو ته گهٽ ۾ گهٽ اجازت ڏنل نمبر (7911) ۽ وڌ ۾ وڌ (42926 - خطري جي وقت ۾) سسٽم ۾ رپورٽن جي ڪل تعداد (35015) کي ڳڻڻ لاءِ ۽ جيتوڻيڪ (جيڪڏهن ڪو خراب ارادو هو) ڊائون لوڊ. اهي سڀ هڪ سادي اسڪرپٽ سان.
ڏسڻ لاءِ موجود ڊيٽا ۾ شامل هئا: ڊاڪٽر ۽ مريض جو پورو نالو، ڊاڪٽر ۽ مريض جي ڄمڻ جون تاريخون، ڊاڪٽر ۽ مريض جا ٽيليفون نمبر، ڊاڪٽر ۽ مريض جي جنس، ڊاڪٽر ۽ مريض جا اي ميل ايڊريس، ڊاڪٽر جي اسپيشلائيزيشن مشوري جي تاريخ، مشوري جي قيمت ۽ ڪجھ ڪيسن ۾ پڻ تشخيص (رپورٽ جي تبصري جي طور تي).
هي ڪمزوري بنيادي طور تي هڪ جهڙي آهي جيڪا هئي microfinance تنظيم جي سرور تي "Zaimograd". ان کان پوء، ڳولڻ سان، اهو 36763 معاهدو حاصل ڪرڻ ممڪن هو جنهن ۾ تنظيم جي گراهڪن جي مڪمل پاسپورٽ ڊيٽا شامل آهن.
جيئن مون شروعات کان اشارو ڪيو، ڊاڪٽر جي ويجھن ملازمن حقيقي پيشه ورانه مهارت ڏيکاري ۽ ان حقيقت جي باوجود ته مون انهن کي 23:00 تي (ماسڪو جي وقت) جي خطري کان آگاهي ڏني، منهنجي ذاتي اڪائونٽ تائين رسائي فوري طور تي سڀني جي لاءِ بند ڪئي وئي، ۽ 1: 00 (ماسڪو وقت) هي خطرو مقرر ڪيو ويو آهي.
مان مدد نه ٿو ڪري سگهان پر هڪ ڀيرو ٻيهر ساڳئي DOC + (نئون دوائون LLC) جي پي آر ڊپارٽمينٽ کي مارڻ. اعلان "ڊيٽا جو هڪ ننڍڙو مقدار عارضي طور تي عوامي طور تي دستياب ڪيو ويو"، اهي حقيقت کان محروم ٿي ويا آهن ته اسان وٽ اسان جي اختياري تي "مقصد ڪنٽرول" ڊيٽا آهي، يعني شوڊان سرچ انجڻ. جيئن ته هن آرٽيڪل جي تبصرن ۾ صحيح طور تي نوٽ ڪيو ويو آهي - شوڊان جي مطابق، DOC + IP پتي تي اوپن ڪلڪ هائوس سرور جي پهرين فيڪسيشن جي تاريخ: 15.02.2019/03/08 00:17.03.2019:09، آخري فيڪسيشن جي تاريخ: 52/ 00/40 XNUMX:XNUMX:XNUMX. ڊيٽابيس جي سائيز اٽڪل XNUMX GB آهي.
مجموعي طور تي 15 اصلاحون هيون:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00بيان مان اهو ظاهر ٿئي ٿو ته عارضي طور تي اهو هڪ مهيني کان ٿورو وڌيڪ آهي، پر ڊيٽا جي ننڍي مقدار اهو لڳ ڀڳ 40 گيگا بائيٽ آهي. خير مون کي خبر ناهي…
پر اچو ته واپس وڃو ”ڊاڪٽر ويجھي آهي“.
هن وقت، منهنجي پيشه ورانه پروانويا صرف هڪ باقي ننڍڙي مسئلي کان پريشان آهي - سرور جي جواب سان توهان سسٽم ۾ رپورٽن جو تعداد ڳولي سگهو ٿا. جڏهن توهان هڪ URL مان هڪ رپورٽ حاصل ڪرڻ جي ڪوشش ڪئي جيڪا پهچ نه آهي (پر رپورٽ خود موجود آهي)، سرور واپس اچي ٿو ACCESS_DENIED، ۽ جڏهن توهان هڪ رپورٽ حاصل ڪرڻ جي ڪوشش ڪندا آهيو جيڪا موجود ناهي، اها واپس اچي ٿي نه مليو. وقت جي حوالي سان سسٽم ۾ رپورٽن جي تعداد ۾ اضافو جي نگراني ڪندي (هفتي ۾ هڪ ڀيرو، مهيني، وغيره)، توهان خدمت جي ڪم لوڊ ۽ مهيا ڪيل خدمتن جي مقدار جو اندازو لڳائي سگهو ٿا. اهو، يقينا، مريضن ۽ ڊاڪٽرن جي ذاتي ڊيٽا جي خلاف ورزي نٿو ڪري، پر اهو ٿي سگهي ٿو ڪمپني جي واپاري رازن جي خلاف ورزي.
جو ذريعو: www.habr.com