Len pred pár dňami som
Hneď napíšem, že vďaka adekvátnosti personálu Doctor is Near bola zraniteľnosť rýchlo (2 hodiny od momentu upozornenia v noci!) odstránená a s najväčšou pravdepodobnosťou nedošlo k úniku osobných a zdravotných údajov. Na rozdiel od incidentu DOC+, kde s istotou viem, že minimálne jeden json súbor s dátami o veľkosti 3.5 GB skončil v “otvorenom svete” a oficiálne stanovisko vyzerá takto: “Malé množstvo údajov sa dočasne stalo verejne dostupným, čo nemôže viesť k negatívnym dôsledkom pre zamestnancov a používateľov služby DOC+.".
So mnou, ako vlastníkom kanála Telegram “
Podstatou tejto zraniteľnosti bolo, že ak poznáte URL a ste v systéme pod svojím účtom, mohli ste si prezerať údaje iných pacientov.
Na registráciu nového účtu v systéme Doctor Blízko vám vlastne stačí len mobilné telefónne číslo, na ktoré vám príde potvrdzujúca SMS, takže s prihlásením do osobného účtu by nikto nemohol mať problémy.
Po prihlásení používateľa do svojho osobného účtu si mohol zmenou adresy URL v adresnom riadku svojho prehliadača okamžite prezerať správy obsahujúce osobné údaje pacientov a dokonca aj lekárske diagnózy.
Významným problémom bolo, že služba používa priebežné číslovanie prehľadov a URL už tvorí z týchto čísel:
https://[адрес сайта]/…/…/40261/…
Stačilo teda nastaviť minimálny povolený počet (7911) a maximálny (42926 - v čase zraniteľnosti) na výpočet celkového počtu (35015) hlásení v systéme a dokonca (ak tam bol nekalý úmysel) stiahnutie všetky pomocou jednoduchého skriptu.
Medzi údajmi dostupnými na nahliadnutie boli: celé meno lekára a pacienta, dátumy narodenia lekára a pacienta, telefónne čísla lekára a pacienta, pohlavie lekára a pacienta, emailové adresy lekára a pacienta, špecializácia lekára , dátum konzultácie, náklady na konzultáciu a v niektorých prípadoch aj diagnózu (ako komentár k správe).
Táto zraniteľnosť je v podstate veľmi podobná tej, ktorá bola
Ako som už od začiatku naznačil, zamestnanci Doctora Neďaleko preukázali skutočnú profesionalitu a napriek tomu, že som ich o zraniteľnosti informoval o 23:00 (moskovského času), prístup k môjmu osobnému účtu bol okamžite pre všetkých uzavretý a do 1:00: XNUMX (moskovský čas) bola táto chyba zabezpečenia opravená.
Nemôžem si pomôcť, ale ešte raz nakopnúť PR oddelenie toho istého DOC+ (New Medicine LLC). Vyhlasuje sa "Malé množstvo údajov bolo dočasne sprístupnené verejnosti“, strácajú zo zreteľa, že máme k dispozícii údaje „objektívnej kontroly“, konkrétne vyhľadávač Shodan. Ako je správne uvedené v komentároch k článku - podľa Shodana dátum prvej fixácie otvoreného servera ClickHouse na DOC+ IP adrese: 15.02.2019 03:08:00, dátum poslednej fixácie: 17.03.2019/ 09/52 00:40:XNUMX. Veľkosť databázy je približne XNUMX GB.
Celkovo bolo 15 fixácií:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
Z vyjadrenia to vyplýva dočasne je to nieco vyse mesiaca, ale malé množstvo dát to je približne 40 gigabajtov. No, neviem…
Ale vráťme sa k „Doktor je nablízku“.
Moju profesionálnu paranoju momentálne prenasleduje už len jeden menší problém - podľa odozvy servera zistíte počet hlásení v systéme. Keď sa pokúsite získať prehľad z adresy URL, ktorá nie je prístupná (ale samotná správa je dostupná), server sa vráti PRÍSTUP ZAMIETNUTÝa keď sa pokúsite získať správu, ktorá neexistuje, vráti sa NENÁJDENÉ. Sledovaním nárastu počtu reportov v systéme v čase (raz za týždeň, mesiac a pod.) môžete posúdiť vyťaženosť služby a objem poskytovaných služieb. To samozrejme neporušuje osobné údaje pacientov a lekárov, ale môže ísť o porušenie obchodného tajomstva spoločnosti.
Zdroj: hab.com