Ravno pred nekaj dnevi sem na Habréju o tem, kako je ruskemu spletnemu zdravstvenemu servisu DOC+ uspelo v javni domeni pustiti bazo podatkov s podrobnimi dnevniki dostopa, iz katerih je bilo mogoče pridobiti podatke bolnikov in zaposlenih v službi. In tukaj je nov incident z drugo rusko storitvijo, ki pacientom omogoča spletna posvetovanja z zdravniki - "Doctor Nearby" (www.drclinics.ru).
Takoj bom napisal, da je bila zahvaljujoč ustreznosti osebja Doctor is Near ranljivost hitro (2 uri od trenutka obvestila ponoči!) odpravljena in najverjetneje ni prišlo do uhajanja osebnih in zdravstvenih podatkov. Za razliko od incidenta DOC+, kjer zagotovo vem, da je vsaj ena datoteka json s podatki, velika 3.5 GB, končala v “odprtem svetu”, uradno stališče izgleda takole: “Manjša količina podatkov je začasno postala javno dostopna, kar ne more povzročiti negativnih posledic za zaposlene in uporabnike storitve DOC+.".
Z mano, kot lastnikom kanala Telegram "« se je oglasil anonimni naročnik in prijavil potencialno ranljivost na spletni strani www.drclinics.ru.
Bistvo ranljivosti je bilo v tem, da si lahko, če poznaš URL in si v sistemu pod svojim računom, ogledaš podatke drugih bolnikov.
Za registracijo novega računa v sistemu Zdravnik v bližini dejansko potrebujete le številko mobilnega telefona, na katero prejmete potrditveno SMS sporočilo, tako da nihče ne more imeti težav s prijavo v svoj osebni račun.
Ko se je uporabnik prijavil v svoj osebni račun, si je lahko takoj, s spremembo URL-ja v naslovni vrstici svojega brskalnika, ogledal poročila, ki vsebujejo osebne podatke pacientov in celo zdravstvene diagnoze.
Pomembna težava je bila, da storitev uporablja neprekinjeno številčenje poročil in iz teh številk že oblikuje URL:
https://[адрес сайта]/…/…/40261/…
Zato je bilo dovolj, da je bilo nastavljeno najmanjše dovoljeno število (7911) in največje (42926 - v času ranljivosti), da se je izračunalo skupno število (35015) poročil v sistemu in celo (če je bil zlonamerni namen) prenos. vse s preprostim scenarijem.
Med podatki, ki so bili na voljo za vpogled, so bili: polno ime zdravnika in pacienta, datum rojstva zdravnika in pacienta, telefonski številki zdravnika in pacienta, spol zdravnika in pacienta, e-naslova zdravnika in pacienta, zdravnikova specializacija , datum posveta, stroški posveta in v nekaterih primerih celo diagnoza (kot komentar k izvidu).
Ta ranljivost je v bistvu zelo podobna tisti, ki je bila na strežniku mikrofinančne organizacije “Zaimograd”. Nato je bilo z iskanjem mogoče pridobiti 36763 pogodb s popolnimi potnimi podatki strank organizacije.
Kot sem navedel že na samem začetku, so zaposleni v podjetju Doctor Nearby pokazali pravo profesionalnost in kljub dejstvu, da sem jih o ranljivosti obvestil ob 23:00 (po moskovskem času), je bil dostop do mojega osebnega računa takoj zaprt za vse in do 1: 00 (po moskovskem času) je bila ta ranljivost odpravljena.
Ne morem si kaj, da ne bi še enkrat udaril po PR oddelku istega DOC+ (New Medicine LLC). Izjava "Manjša količina podatkov je bila začasno javno dostopna«, izgubijo izpred oči dejstvo, da imamo na voljo podatke »objektivnega nadzora«, namreč iskalnik Shodan. Kot je pravilno navedeno v komentarjih k temu članku - po Shodanu je datum prve fiksacije odprtega strežnika ClickHouse na naslovu IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, datum zadnje fiksacije: 52/ 00/40 XNUMX:XNUMX:XNUMX. Velikost podatkovne baze je približno XNUMX GB.
Skupaj je bilo 15 popravkov:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Iz izjave izhaja, da začasno je malo več kot mesec dni, ampak majhna količina podatkov to je približno 40 gigabajtov. No, ne vem…
A vrnimo se k »Zdravnik je v bližini«.
Trenutno mojo poklicno paranojo preganja le še en manjši problem - po odzivu strežnika lahko ugotovite število prijav v sistemu. Ko poskušate pridobiti poročilo z URL-ja, ki ni dostopen (vendar je samo poročilo na voljo), strežnik vrne DOSTOP ZAVRNJEN, in ko poskušate pridobiti poročilo, ki ne obstaja, se vrne NI NAJDENO. S spremljanjem naraščanja števila poročil v sistemu skozi čas (enkrat tedensko, mesečno ipd.) lahko ocenite obremenjenost storitve in obseg opravljenih storitev. S tem seveda niso kršeni osebni podatki bolnikov in zdravnikov, lahko pa gre za kršitev poslovne skrivnosti podjetja.
Vir: www.habr.com