Здраво поново! Поново сам пронашао отворену базу података са медицинским подацима за вас. Да вас подсетим да су недавно била три моја чланка на ову тему: , и .
Овог пута, Еластицсеарцх сервер са логовима из медицинског ИТ система лабораторијске мреже био је јавно доступан.Центар за молекуларну дијагностику(ЦМД, ввв.цмд-онлине.ру).
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.
Сервер је откривен ујутро 1. априла и уопште ми се није чинио смешним. Обавештење о проблему је стигло до ЦМД-а око 10 часова (по московском времену) и око 15 часова база података је постала недоступна.
Према Сходан претраживачу, овај сервер је први пут постао јавно доступан 09.03.2019. О томе , написао сам посебан чланак.
Из евиденције се могу добити веома осетљиве информације, укључујући Пуно име, пол, датуми рођења пацијената, пуна имена лекара, трошкови истраживања, подаци истраживања, фајлови са резултатима скрининга и још много тога.
Пример дневника са резултатима тестова пацијената:
"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///Попунио сам све осетљиве податке са „Кс“. У стварности, све је остало отворено.
Из таквих евиденција било је лако (конвертовањем из Басе64) добити ПНГ датотеке са резултатима скрининга, већ у лако читљивом облику:
Укупна величина дневника је премашила 400 МБ и укупно су садржали више од милион уноса. Јасно је да није сваки запис представљао јединствене податке о пацијенту.
Званичан одговор ЦМД-а:
Желели бисмо да вам се захвалимо што сте 01.04.2019. априла XNUMX. благовремено пренели информације о присуству рањивости у бази података о грешкама и складиштењу Еластицсеарцх.
На основу ових информација, наши запослени су, заједно са релевантним стручњацима, ограничили приступ наведеној бази података. Исправљена је грешка у преносу поверљивих информација у техничку базу података.
Током анализе инцидента, било је могуће сазнати да је до појаве наведене базе података са евиденцијама грешака у јавном домену дошло због разлога везан за људски фактор. Приступ подацима је одмах затворен 01.04.2019.
У овом тренутку интерни и екстерни стручњаци предузимају мере за додатну ревизију ИТ инфраструктуре ради заштите података.
Наша организација је развила посебне прописе за рад са личним подацима и систем нивоа кадровске одговорности.
Тренутна софтверска инфраструктура користи базу података Еластицсеарцх за складиштење грешака. Да би се побољшала поузданост неких система, одговарајући сервери ће бити пребачени у центар података нашег партнера, у сертификовано софтверско и хардверско окружење.
Хвала вам на благовременим информацијама.
Вести о цурењу информација и инсајдерима увек се могу наћи на мом Телеграм каналу "'.
Извор: ввв.хабр.цом