Пре само пар дана И на Хабре о томе како је руска онлајн медицинска служба ДОЦ+ успела да остави у јавном домену базу података са детаљним евиденцијама приступа, из које су се могли добити подаци пацијената и запослених у служби. А ево и новог инцидента, са још једним руским сервисом који пацијентима пружа онлајн консултације са лекарима – „Доктор у близини“ (ввв.дрцлиницс.ру).
Одмах ћу написати да је захваљујући адекватности особља Доктор је у близини, рањивост брзо (2 сата од тренутка обавештења ноћу!) елиминисана и највероватније није било цурења личних и медицинских података. За разлику од ДОЦ+ инцидента, где поуздано знам да је бар један јсон фајл са подацима, величине 3.5 ГБ, завршио у „отвореном свету“, а званични став изгледа овако: „Мала количина података је привремено постала јавно доступна, што не може довести до негативних последица по запослене и кориснике ДОЦ+ услуге.".
Са мном, као власником Телеграм канала "“, јавио се анонимни претплатник и пријавио потенцијалну рањивост на веб страници ввв.дрцлиницс.ру.
Суштина рањивости је била у томе да, знајући УРЛ и ако сте у систему под вашим налогом, можете да видите податке других пацијената.
Да бисте регистровали нови налог у систему Доцтор Неарби, заправо вам је потребан само број мобилног телефона на који се шаље потврдни СМС, тако да нико не би имао проблема да се пријави на свој лични налог.
Након што се корисник пријави на свој лични налог, могао је одмах, променом УРЛ адресе у адресној траци свог претраживача, да прегледа извештаје који садрже личне податке пацијената, па чак и медицинске дијагнозе.
Значајан проблем је био што сервис користи континуирано нумерисање извештаја и већ формира УРЛ од ових бројева:
https://[адрес сайта]/…/…/40261/…
Због тога је било довољно да се подеси минимални дозвољени број (7911) и максимални (42926 - у тренутку рањивости) да се израчуна укупан број (35015) извештаја у систему, па чак и (ако је било зле намере) преузимање све са једноставним скриптом.
Међу подацима доступним за увид били су: пуно име лекара и пацијента, датуми рођења лекара и пацијента, бројеви телефона лекара и пацијента, пол лекара и пацијента, имејл адресе лекара и пацијента, специјализација лекара , датум консултације, цена консултација иу неким случајевима чак и дијагноза (као коментар на извештај).
Ова рањивост је у суштини веома слична оној која је била на серверу микрофинансијске организације „Заимоград“. Тада је претраживањем било могуће добити 36763 уговора који садрже пуне податке о пасошу клијената организације.
Као што сам наговестио од самог почетка, запослени Доктор у близини показали су прави професионализам и упркос чињеници да сам их обавестио о рањивости у 23:00 (московско време), приступ мом личном налогу је одмах затворен за све, а до 1: 00 (московско време) ова рањивост је исправљена.
Не могу а да не ударим још једном ПР одељење истог ДОЦ+ (Нев Медицине ЛЛЦ). Изјава "Мала количина података је привремено стављена на располагање јавности“, губе из вида да имамо на располагању податке „објективне контроле”, односно Сходан претраживач. Као што је тачно наведено у коментарима на тај чланак - према Сходан-у, датум прве фиксације отвореног ЦлицкХоусе сервера на ДОЦ+ ИП адресу: 15.02.2019 03:08:00, датум последње фиксације: 17.03.2019/ 09/52 00:40:XNUMX. Величина базе података је око XNUMX ГБ.
Било је укупно 15 фиксација:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Из изјаве произилази да привремено то је нешто више од месец дана, али мала количина података ово је отприлике 40 гигабајта. Па, не знам…
Али вратимо се на „Доктор је у близини“.
У овом тренутку, моју професионалну параноју прогања само један преостали мањи проблем - по одговору сервера можете сазнати број извештаја у систему. Када покушате да добијете извештај са УРЛ адресе која није доступна (али је сам извештај доступан), сервер враћа ПРИСТУП ЗАБРАЊЕН, а када покушате да добијете извештај који не постоји, он се враћа НИЈЕ ПРОНАЂЕН. Праћењем повећања броја извештаја у систему током времена (једном недељно, месечно итд.), можете проценити обим посла и обим услуга које се пружају. Ово, наравно, не крши личне податке пацијената и лекара, али може представљати кршење пословне тајне компаније.
Извор: ввв.хабр.цом