Vetëm disa ditë më parë unë në Habré se si shërbimi mjekësor online rus DOC+ arriti të linte një bazë të dhënash me regjistrat e detajuar të aksesit në domenin publik, nga i cili mund të merreshin të dhënat e pacientëve dhe punonjësve të shërbimit. Dhe këtu është një incident i ri, me një shërbim tjetër rus që u ofron pacientëve konsultime në internet me mjekët - "Doctor Nearby" (www.drclinics.ru).
Do të shkruaj menjëherë se falë përshtatshmërisë së stafit të Doctor is Near, cenueshmëria u eliminua shpejt (2 orë nga momenti i njoftimit gjatë natës!) dhe me shumë mundësi nuk ka pasur rrjedhje të të dhënave personale dhe mjekësore. Ndryshe nga incidenti DOC+, ku unë e di me siguri se të paktën një skedar json me të dhëna, me madhësi 3.5 GB, përfundoi në "botën e hapur" dhe pozicioni zyrtar duket kështu: "Një sasi e vogël e të dhënave është bërë përkohësisht e disponueshme për publikun, gjë që nuk mund të çojë në pasoja negative për punonjësit dhe përdoruesit e shërbimit DOC+.".
Me mua, si pronar i kanalit Telegram "", një pajtimtar anonim kontaktoi dhe raportoi një cenueshmëri të mundshme në faqen e internetit www.drclinics.ru.
Thelbi i cenueshmërisë ishte se, duke ditur URL-në dhe duke qenë në sistemin nën llogarinë tuaj, mund të shikonit të dhënat e pacientëve të tjerë.
Për të regjistruar një llogari të re në sistemin Doctor Nearby, në fakt ju duhet vetëm një numër telefoni celular, ku dërgohet një SMS konfirmimi, kështu që askush nuk mund të ketë ndonjë problem me hyrjen në llogarinë e tij personale.
Pasi përdoruesi të hynte në llogarinë e tij personale, ai mund të shikonte menjëherë raporte që përmbajnë të dhëna personale të pacientëve dhe madje edhe diagnoza mjekësore, duke ndryshuar URL-në në shiritin e adresave të shfletuesit të tij.
Një problem i rëndësishëm ishte se shërbimi përdor numërimin e vazhdueshëm të raporteve dhe tashmë formon një URL nga këta numra:
https://[адрес сайта]/…/…/40261/…
Prandaj, mjaftoi të vendosej numri minimal i lejuar (7911) dhe maksimumi (42926 - në kohën e cenueshmërisë) për të llogaritur numrin total (35015) të raporteve në sistem dhe madje (nëse kishte qëllim keqdashës) shkarkimin të gjitha me një skenar të thjeshtë.
Ndër të dhënat e disponueshme për shikim ishin: emri i plotë i mjekut dhe pacientit, datat e lindjes së mjekut dhe pacientit, numrat e telefonit të mjekut dhe pacientit, gjinia e mjekut dhe pacientit, adresat e emailit të mjekut dhe pacientit, specializimi i mjekut. , data e konsultimit, kostoja e konsultimit dhe në disa raste edhe diagnoza (si koment në raport).
Kjo dobësi është në thelb shumë e ngjashme me atë që ishte në serverin e organizatës mikrofinanciare “Zaimograd”. Më pas, duke kërkuar, u arrit të merren 36763 kontrata që përmbajnë të dhënat e plota të pasaportave të klientëve të organizatës.
Siç e tregova që në fillim, punonjësit e Doctor Nearby treguan profesionalizëm të vërtetë dhe përkundër faktit që i informova për cenueshmërinë në orën 23:00 (koha e Moskës), qasja në llogarinë time personale u mbyll menjëherë për të gjithë, dhe nga 1: 00 (koha e Moskës) kjo dobësi është rregulluar.
Nuk mund të mos e godas edhe një herë departamentin e PR të të njëjtit DOC+ (New Medicine LLC). duke deklaruar "Një sasi e vogël e të dhënave u vu në dispozicion të publikut përkohësisht“, ata humbasin nga sytë faktin se ne kemi në dispozicion të dhëna “kontrolli objektiv”, përkatësisht motorin e kërkimit Shodan. Siç vërehet saktë në komentet e atij artikulli - sipas Shodan, data e fiksimit të parë të serverit të hapur ClickHouse në adresën IP të DOC+: 15.02.2019/03/08 00:17.03.2019:09, data e fiksimit të fundit: 52/ 00/40 XNUMX:XNUMX:XNUMX. Madhësia e bazës së të dhënave është rreth XNUMX GB.
Në total ka pasur 15 fiksime:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Nga deklarata duket se përkohësisht është pak më shumë se një muaj, por sasi e vogël e të dhënave kjo është afërsisht 40 gigabajt. Epo nuk e di…
Por le të kthehemi te "Doktori është afër".
Për momentin, paranoja ime profesionale është e përhumbur nga vetëm një problem i vogël i mbetur - nga përgjigja e serverit mund të zbuloni numrin e raporteve në sistem. Kur përpiqeni të merrni një raport nga një URL që nuk është e aksesueshme (por vetë raporti është i disponueshëm), serveri kthehet NDALOHET HYRJA, dhe kur përpiqeni të merrni një raport që nuk ekziston, ai kthehet NUK U GJET. Duke monitoruar me kalimin e kohës rritjen e numrit të raportimeve në sistem (një herë në javë, muaj etj.), mund të vlerësoni ngarkesën e shërbimit dhe vëllimin e shërbimeve të ofruara. Kjo, natyrisht, nuk cenon të dhënat personale të pacientëve dhe mjekëve, por mund të jetë shkelje e sekreteve tregtare të kompanisë.
Burimi: www.habr.com