Pershendetje perseri! Unë kam gjetur përsëri një bazë të dhënash të hapur me të dhëna mjekësore për ju. Më lejoni t'ju kujtoj se kohët e fundit kishte tre nga artikujt e mi mbi këtë temë: , и .
Kësaj radhe, serveri Elasticsearch me regjistrat nga sistemi IT mjekësor i rrjetit laboratorik ishte i disponueshëm për publikun.Qendra për Diagnostifikimin Molekular(CMD, www.cmd-online.ru).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Serveri u zbulua në mëngjesin e 1 Prillit dhe nuk më dukej aspak qesharake. Një njoftim për problemin shkoi në CMD rreth orës 10 të mëngjesit (koha e Moskës) dhe rreth orës 15:00 baza e të dhënave u bë e paarritshme.
Sipas motorit të kërkimit Shodan, ky server u bë fillimisht i disponueshëm publikisht në 09.03.2019/XNUMX/XNUMX. Ne lidhje me ate , kam shkruar një artikull të veçantë.
Informacione shumë të ndjeshme mund të merren nga regjistrat, duke përfshirë Emri i plotë, gjinia, datat e lindjes së pacientëve, emrat e plotë të mjekëve, kostoja e hulumtimit, të dhënat kërkimore, skedarët me rezultatet e shqyrtimit dhe shumë gjëra të tjera.
Shembull i një regjistri me rezultatet e testit të pacientit:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///Unë i kam plotësuar të gjitha të dhënat sensitive me një "X". Në realitet, gjithçka u mbajt hapur.
Nga regjistrat e tillë ishte e lehtë (duke u konvertuar nga Base64) për të marrë skedarë PNG me rezultate të shqyrtimit, tashmë në një formë të lehtë për t'u lexuar:
Madhësia totale e regjistrave tejkaloi 400 MB dhe në total ato përmbanin më shumë se një milion hyrje. Është e qartë se jo çdo regjistrim përfaqësonte të dhëna unike të pacientit.
Përgjigja zyrtare nga VKM:
Ne dëshirojmë t'ju falënderojmë për transmetimin e menjëhershëm të informacionit më 01.04.2019 prill XNUMX në lidhje me praninë e një cenueshmërie në bazën e të dhënave të regjistrimit dhe ruajtjes së gabimeve Elasticsearch.
Bazuar në këtë informacion, punonjësit tanë, së bashku me specialistët përkatës, kufizuan aksesin në bazën e të dhënave të specifikuar. Gabimi në transferimin e informacionit konfidencial në bazën e të dhënave teknike është rregulluar.
Gjatë analizës së incidentit, u zbulua se shfaqja e bazës së të dhënave të specifikuar me regjistrat e gabimeve në domenin publik ishte për shkak të një arsyeje që lidhej me faktorin njerëzor. Qasja në të dhëna u mbyll menjëherë më 01.04.2019/XNUMX/XNUMX.
Për momentin, specialistë të brendshëm dhe të jashtëm po marrin masa për auditimin shtesë të infrastrukturës së IT për mbrojtjen e të dhënave.
Organizata jonë ka zhvilluar rregullore të veçanta për punën me të dhënat personale dhe një sistem të nivelit të përgjegjësisë së personelit.
Infrastruktura aktuale e softuerit përdor një bazë të dhënash Elasticsearch për të ruajtur gabimet. Për të përmirësuar besueshmërinë e disa sistemeve, serverët përkatës do të migrohen në qendrën e të dhënave të partnerit tonë, në një mjedis softuerësh dhe harduerësh të certifikuar.
Faleminderit për informacionin e dhënë në kohë.
Lajmet rreth rrjedhjeve të informacionit dhe të brendshëm mund të gjenden gjithmonë në kanalin tim Telegram "'.
Burimi: www.habr.com