Ngan sababaraha poé ka tukang kuring on Habré ngeunaan kumaha layanan médis online Rusia DOC + junun ninggalkeun database kalawan log aksés lengkep dina domain publik, ti mana data pasien jeung karyawan jasa bisa diala. Sareng ieu mangrupikeun kajadian énggal, kalayan jasa Rusia anu sanés nyayogikeun pasien konsultasi online sareng dokter - "Dokter caket" (www.drclinics.ru).
Kuring bakal langsung nyerat yén hatur nuhun kana kacukupan staf Dokter nyaéta Deukeut, kerentanan éta gancang (2 jam ti momen béwara wengi!) Dileungitkeun sareng paling dipikaresep teu aya bocor data pribadi sareng médis. Beda sareng kajadian DOC +, dimana kuring terang pasti yén sahenteuna hiji file json sareng data, ukuranana 3.5 GB, réngsé dina "dunya kabuka", sareng posisi resmi sapertos kieu: "Sajumlah leutik data samentawis sayogi pikeun umum, anu henteu tiasa ngakibatkeun akibat négatip pikeun karyawan sareng pangguna jasa DOC +.".
Sareng abdi, salaku nu gaduh saluran Telegram "", palanggan anonim ngahubungi sareng ngalaporkeun poténsi kerentanan dina situs wéb www.drclinics.ru.
Intina kerentanan éta, terang URL sareng aya dina sistem dina akun anjeun, anjeun tiasa ningali data pasien anu sanés.
Pikeun ngadaptarkeun akun anyar dina sistem Doctor Nearby, anjeun saleresna ngan ukur peryogi nomer telepon sélulér anu dikirimkeun SMS konfirmasi, janten teu aya anu tiasa ngagaduhan masalah pikeun asup kana akun pribadina.
Saatos pangguna asup kana akun pribadina, anjeunna tiasa langsung, ku ngarobih URL dina bar alamat browser na, ningali laporan anu ngandung data pribadi pasien sareng diagnosis médis.
Masalah anu penting nyaéta jasa éta ngagunakeun panomeran kontinyu tina laporan sareng parantos ngabentuk URL tina nomer ieu:
https://[адрес сайта]/…/…/40261/…
Ku alatan éta, éta cukup pikeun ngeset jumlah minimum diwenangkeun (7911) jeung maksimum (42926 - dina waktu kerentanan) keur ngitung jumlah total (35015) laporan dina sistem komo (lamun aya niat jahat) download. kabeh ku naskah basajan.
Diantara data anu sayogi pikeun ditingali nyaéta: nami lengkep dokter sareng pasien, tanggal lahir dokter sareng pasien, nomer telepon dokter sareng pasien, gender dokter sareng pasien, alamat email dokter sareng pasien, spésialisasi dokter. , tanggal konsultasi, biaya konsultasi sareng dina sababaraha kasus bahkan diagnosis (salaku koméntar kana laporan).
Kerentanan ieu dasarna sami sareng anu tadi dina server organisasi microfinance "Zaimograd". Teras, ku milarian, tiasa kéngingkeun 36763 kontrak anu ngandung data paspor lengkep para klien organisasi.
Sakumaha anu kuring nunjukkeun ti mimiti, karyawan Dokter caket dieu nunjukkeun profesionalisme anu nyata sareng sanaos kanyataan yén kuring ngawartosan aranjeunna ngeunaan kerentanan dina 23:00 (waktos Moscow), aksés ka akun pribadi kuring langsung ditutup ka sadayana, sareng ku 1: 00 (waktos Moscow) kerentanan ieu parantos dibenerkeun.
Abdi teu tiasa mantuan tapi najong sakali deui departemén PR tina DOC sarua + (New Medicine LLC). Ngadéklarasikeun"Sajumlah leutik data samentawis disayogikeun pikeun umum", aranjeunna leungit tetempoan kanyataan yén urang boga "kontrol obyektif" data dina pembuangan urang, nyaéta search engine Shodan. Sakumaha anu leres-leres dicatet dina koméntar kana tulisan éta - numutkeun Shodan, tanggal fiksasi munggaran tina server ClickHouse kabuka dina alamat DOC + IP: 15.02.2019/03/08 00:17.03.2019:09, tanggal fiksasi terakhir: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ukuran pangkalan data sakitar XNUMX GB.
Aya 15 fiksasi dina total:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Tina pernyataan éta katingalina samentawis éta saeutik leuwih sabulan, tapi jumlah leutik data ieu kirang langkung 40 gigabytes. Muhun abdi henteu terang…
Tapi hayu urang uih deui ka "Dokter caket."
Di momen, paranoia profésional abdi haunted ku ngan hiji masalah minor sésana - ku respon server anjeun tiasa manggihan jumlah laporan dina sistem. Lamun anjeun nyoba pikeun meunangkeun laporan ti URL nu teu bisa diasupan (tapi laporan sorangan geus sadia), server mulih AKSÉS DITOLAK, sareng nalika anjeun nyobian kéngingkeun laporan anu henteu aya, éta bakal uih deui HENTEU KAPENDAK. Ku ngawaskeun kanaékan jumlah laporan dina sistem kana waktosna (saminggu sakali, sasih, sareng sajabana), anjeun tiasa ngira-ngira beban kerja jasa sareng volume jasa anu disayogikeun. Ieu, tangtosna, henteu ngalanggar data pribadi pasien sareng dokter, tapi tiasa janten palanggaran rahasia dagang perusahaan.
sumber: www.habr.com