Len pred pár dňami som na Habré o tom, ako sa ruskej online lekárskej službe DOC+ podarilo ponechať vo verejnej doméne databázu s podrobnými prístupovými logami, z ktorých sa dali získať údaje pacientov a zamestnancov služby. A tu je nový incident s ďalšou ruskou službou, ktorá pacientom poskytuje online konzultácie s lekármi – „Doctor Blízko“ (www.drclinics.ru).
Hneď napíšem, že vďaka adekvátnosti personálu Doctor is Near bola zraniteľnosť rýchlo (2 hodiny od momentu upozornenia v noci!) odstránená a s najväčšou pravdepodobnosťou nedošlo k úniku osobných a zdravotných údajov. Na rozdiel od incidentu DOC+, kde s istotou viem, že minimálne jeden json súbor s dátami o veľkosti 3.5 GB skončil v “otvorenom svete” a oficiálne stanovisko vyzerá takto: “Malé množstvo údajov sa dočasne stalo verejne dostupným, čo nemôže viesť k negatívnym dôsledkom pre zamestnancov a používateľov služby DOC+.".
So mnou, ako vlastníkom kanála Telegram ““, kontaktoval anonymný predplatiteľ a nahlásil potenciálnu zraniteľnosť na webovej stránke www.drclinics.ru.
Podstatou tejto zraniteľnosti bolo, že ak poznáte URL a ste v systéme pod svojím účtom, mohli ste si prezerať údaje iných pacientov.
Na registráciu nového účtu v systéme Doctor Blízko vám vlastne stačí len mobilné telefónne číslo, na ktoré vám príde potvrdzujúca SMS, takže s prihlásením do osobného účtu by nikto nemohol mať problémy.
Po prihlásení používateľa do svojho osobného účtu si mohol zmenou adresy URL v adresnom riadku svojho prehliadača okamžite prezerať správy obsahujúce osobné údaje pacientov a dokonca aj lekárske diagnózy.
Významným problémom bolo, že služba používa priebežné číslovanie prehľadov a URL už tvorí z týchto čísel:
https://[адрес сайта]/…/…/40261/…
Stačilo teda nastaviť minimálny povolený počet (7911) a maximálny (42926 - v čase zraniteľnosti) na výpočet celkového počtu (35015) hlásení v systéme a dokonca (ak tam bol nekalý úmysel) stiahnutie všetky pomocou jednoduchého skriptu.
Medzi údajmi dostupnými na nahliadnutie boli: celé meno lekára a pacienta, dátumy narodenia lekára a pacienta, telefónne čísla lekára a pacienta, pohlavie lekára a pacienta, emailové adresy lekára a pacienta, špecializácia lekára , dátum konzultácie, náklady na konzultáciu a v niektorých prípadoch aj diagnózu (ako komentár k správe).
Táto zraniteľnosť je v podstate veľmi podobná tej, ktorá bola na serveri mikrofinančnej organizácie „Zaimograd“. Potom bolo pomocou vyhľadávania možné získať 36763 XNUMX zmlúv obsahujúcich úplné pasové údaje klientov organizácie.
Ako som už od začiatku naznačil, zamestnanci Doctora Neďaleko preukázali skutočnú profesionalitu a napriek tomu, že som ich o zraniteľnosti informoval o 23:00 (moskovského času), prístup k môjmu osobnému účtu bol okamžite pre všetkých uzavretý a do 1:00: XNUMX (moskovský čas) bola táto chyba zabezpečenia opravená.
Nemôžem si pomôcť, ale ešte raz nakopnúť PR oddelenie toho istého DOC+ (New Medicine LLC). Vyhlasuje sa "Malé množstvo údajov bolo dočasne sprístupnené verejnosti“, strácajú zo zreteľa, že máme k dispozícii údaje „objektívnej kontroly“, konkrétne vyhľadávač Shodan. Ako je správne uvedené v komentároch k článku - podľa Shodana dátum prvej fixácie otvoreného servera ClickHouse na DOC+ IP adrese: 15.02.2019 03:08:00, dátum poslednej fixácie: 17.03.2019/ 09/52 00:40:XNUMX. Veľkosť databázy je približne XNUMX GB.
Celkovo bolo 15 fixácií:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Z vyjadrenia to vyplýva dočasne je to nieco vyse mesiaca, ale malé množstvo dát to je približne 40 gigabajtov. No, neviem…
Ale vráťme sa k „Doktor je nablízku“.
Moju profesionálnu paranoju momentálne prenasleduje už len jeden menší problém - podľa odozvy servera zistíte počet hlásení v systéme. Keď sa pokúsite získať prehľad z adresy URL, ktorá nie je prístupná (ale samotná správa je dostupná), server sa vráti PRÍSTUP ZAMIETNUTÝa keď sa pokúsite získať správu, ktorá neexistuje, vráti sa NENÁJDENÉ. Sledovaním nárastu počtu reportov v systéme v čase (raz za týždeň, mesiac a pod.) môžete posúdiť vyťaženosť služby a objem poskytovaných služieb. To samozrejme neporušuje osobné údaje pacientov a lekárov, ale môže ísť o porušenie obchodného tajomstva spoločnosti.
Zdroj: hab.com