ڪجھ ڏينهن اڳ آء
مان فوري طور تي لکندس ته ڊاڪٽر جي ڪافي هجڻ جي ڪري عملي جي ويجهو آهي، خطري کي جلدي ختم ڪيو ويو (رات جو نوٽيفڪيشن جي لمحن کان 2 ڪلاڪ!) ۽ گهڻو ڪري ذاتي ۽ طبي ڊيٽا جي ڪا به ليڪ نه هئي. DOC + واقعي جي برعڪس، جتي مان پڪ سان ڄاڻان ٿو ته گهٽ ۾ گهٽ هڪ json فائل ڊيٽا سان، 3.5 GB سائيز ۾، "اوپن ورلڊ" ۾ ختم ٿي وئي، ۽ سرڪاري پوزيشن هن طرح نظر اچي ٿي: "ڊيٽا جي هڪ ننڍڙي رقم عارضي طور تي عوامي طور تي دستياب ٿي چڪي آهي، جيڪا DOC + سروس جي ملازمن ۽ استعمال ڪندڙن لاءِ منفي نتيجا نه ٿي سگهي.".
مون سان گڏ، ٽيليگرام چينل جي مالڪ جي حيثيت سان "
خطري جو خلاصو اهو هو ته، URL کي ڄاڻڻ ۽ توهان جي اڪائونٽ هيٺ سسٽم ۾ هجڻ سان، توهان ٻين مريضن جي ڊيٽا ڏسي سگهو ٿا.
Doctor Nearby سسٽم ۾ نئون اڪائونٽ رجسٽر ڪرڻ لاءِ، توهان کي اصل ۾ صرف هڪ موبائل فون نمبر جي ضرورت آهي جنهن تي هڪ تصديقي ايس ايم ايس موڪليو ويو آهي، تنهنڪري ڪنهن کي به پنهنجي ذاتي اڪائونٽ ۾ لاگ ان ٿيڻ ۾ ڪا به پريشاني نه ٿي سگهي.
صارف جي پنهنجي ذاتي اڪائونٽ ۾ لاگ ان ٿيڻ کان پوء، هو فوري طور تي، پنهنجي برائوزر جي ايڊريس بار ۾ URL کي تبديل ڪندي، مريضن جي ذاتي ڊيٽا ۽ طبي تشخيص تي مشتمل رپورٽون ڏسي سگهي ٿو.
هڪ اهم مسئلو اهو هو ته خدمت مسلسل رپورٽن جي انگن اکرن کي استعمال ڪندي آهي ۽ اڳ ۾ ئي انهن نمبرن مان هڪ URL ٺاهيندي آهي:
https://[адрес сайта]/…/…/40261/…
تنهن ڪري، اهو ڪافي هو ته گهٽ ۾ گهٽ اجازت ڏنل نمبر (7911) ۽ وڌ ۾ وڌ (42926 - خطري جي وقت ۾) سسٽم ۾ رپورٽن جي ڪل تعداد (35015) کي ڳڻڻ لاءِ ۽ جيتوڻيڪ (جيڪڏهن ڪو خراب ارادو هو) ڊائون لوڊ. اهي سڀ هڪ سادي اسڪرپٽ سان.
ڏسڻ لاءِ موجود ڊيٽا ۾ شامل هئا: ڊاڪٽر ۽ مريض جو پورو نالو، ڊاڪٽر ۽ مريض جي ڄمڻ جون تاريخون، ڊاڪٽر ۽ مريض جا ٽيليفون نمبر، ڊاڪٽر ۽ مريض جي جنس، ڊاڪٽر ۽ مريض جا اي ميل ايڊريس، ڊاڪٽر جي اسپيشلائيزيشن مشوري جي تاريخ، مشوري جي قيمت ۽ ڪجھ ڪيسن ۾ پڻ تشخيص (رپورٽ جي تبصري جي طور تي).
هي ڪمزوري بنيادي طور تي هڪ جهڙي آهي جيڪا هئي
جيئن مون شروعات کان اشارو ڪيو، ڊاڪٽر جي ويجھن ملازمن حقيقي پيشه ورانه مهارت ڏيکاري ۽ ان حقيقت جي باوجود ته مون انهن کي 23:00 تي (ماسڪو جي وقت) جي خطري کان آگاهي ڏني، منهنجي ذاتي اڪائونٽ تائين رسائي فوري طور تي سڀني جي لاءِ بند ڪئي وئي، ۽ 1: 00 (ماسڪو وقت) هي خطرو مقرر ڪيو ويو آهي.
مان مدد نه ٿو ڪري سگهان پر هڪ ڀيرو ٻيهر ساڳئي DOC + (نئون دوائون LLC) جي پي آر ڊپارٽمينٽ کي مارڻ. اعلان "ڊيٽا جو هڪ ننڍڙو مقدار عارضي طور تي عوامي طور تي دستياب ڪيو ويو"، اهي حقيقت کان محروم ٿي ويا آهن ته اسان وٽ اسان جي اختياري تي "مقصد ڪنٽرول" ڊيٽا آهي، يعني شوڊان سرچ انجڻ. جيئن ته هن آرٽيڪل جي تبصرن ۾ صحيح طور تي نوٽ ڪيو ويو آهي - شوڊان جي مطابق، DOC + IP پتي تي اوپن ڪلڪ هائوس سرور جي پهرين فيڪسيشن جي تاريخ: 15.02.2019/03/08 00:17.03.2019:09، آخري فيڪسيشن جي تاريخ: 52/ 00/40 XNUMX:XNUMX:XNUMX. ڊيٽابيس جي سائيز اٽڪل XNUMX GB آهي.
مجموعي طور تي 15 اصلاحون هيون:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
بيان مان اهو ظاهر ٿئي ٿو ته عارضي طور تي اهو هڪ مهيني کان ٿورو وڌيڪ آهي، پر ڊيٽا جي ننڍي مقدار اهو لڳ ڀڳ 40 گيگا بائيٽ آهي. خير مون کي خبر ناهي…
پر اچو ته واپس وڃو ”ڊاڪٽر ويجھي آهي“.
هن وقت، منهنجي پيشه ورانه پروانويا صرف هڪ باقي ننڍڙي مسئلي کان پريشان آهي - سرور جي جواب سان توهان سسٽم ۾ رپورٽن جو تعداد ڳولي سگهو ٿا. جڏهن توهان هڪ URL مان هڪ رپورٽ حاصل ڪرڻ جي ڪوشش ڪئي جيڪا پهچ نه آهي (پر رپورٽ خود موجود آهي)، سرور واپس اچي ٿو ACCESS_DENIED، ۽ جڏهن توهان هڪ رپورٽ حاصل ڪرڻ جي ڪوشش ڪندا آهيو جيڪا موجود ناهي، اها واپس اچي ٿي نه مليو. وقت جي حوالي سان سسٽم ۾ رپورٽن جي تعداد ۾ اضافو جي نگراني ڪندي (هفتي ۾ هڪ ڀيرو، مهيني، وغيره)، توهان خدمت جي ڪم لوڊ ۽ مهيا ڪيل خدمتن جي مقدار جو اندازو لڳائي سگهو ٿا. اهو، يقينا، مريضن ۽ ڊاڪٽرن جي ذاتي ڊيٽا جي خلاف ورزي نٿو ڪري، پر اهو ٿي سگهي ٿو ڪمپني جي واپاري رازن جي خلاف ورزي.
جو ذريعو: www.habr.com