Siku chache zilizopita mimi kuhusu Habre kuhusu jinsi huduma ya matibabu ya mtandaoni ya Urusi DOC+ iliweza kuacha hifadhidata yenye kumbukumbu za kina za ufikiaji katika kikoa cha umma, ambapo data ya wagonjwa na wafanyakazi wa huduma inaweza kupatikana. Na hapa kuna tukio jipya, na huduma nyingine ya Kirusi ambayo hutoa wagonjwa na mashauriano ya mtandaoni na madaktari - "Daktari wa Karibu" (www.drclinics.ru).
Nitaandika mara moja kwamba shukrani kwa utoshelevu wa Daktari ni wafanyakazi wa Karibu, mazingira magumu yalikuwa haraka (masaa 2 kutoka wakati wa taarifa usiku!) Iliondolewa na uwezekano mkubwa hapakuwa na uvujaji wa data ya kibinafsi na ya matibabu. Tofauti na tukio la DOC +, ambapo ninajua kwa hakika kwamba angalau faili moja ya json yenye data, ukubwa wa 3.5 GB, iliishia katika "ulimwengu wazi", na nafasi rasmi inaonekana kama hii: "Kiasi kidogo cha data kimepatikana kwa umma kwa muda, ambacho hakiwezi kusababisha matokeo mabaya kwa wafanyikazi na watumiaji wa huduma ya DOC+.".
Na mimi, kama mmiliki wa kituo cha Telegraph "", mteja asiyejulikana aliwasiliana na kuripoti uwezekano wa kuathirika kwenye tovuti www.drclinics.ru.
Kiini cha uwezekano wa kuathiriwa kilikuwa kwamba, kwa kujua URL na kuwa katika mfumo chini ya akaunti yako, unaweza kutazama data ya wagonjwa wengine.
Ili kusajili akaunti mpya katika mfumo wa Karibu wa Daktari, unahitaji tu nambari ya simu ya rununu ambayo SMS ya uthibitisho inatumwa, kwa hivyo hakuna mtu anayeweza kuwa na shida kuingia kwenye akaunti yake ya kibinafsi.
Baada ya mtumiaji kuingia kwenye akaunti yake ya kibinafsi, angeweza mara moja, kwa kubadilisha URL katika bar ya anwani ya kivinjari chake, kutazama ripoti zilizo na data ya kibinafsi ya wagonjwa na hata uchunguzi wa matibabu.
Tatizo kubwa lilikuwa kwamba huduma hutumia nambari za kila mara za ripoti na tayari huunda URL kutoka kwa nambari hizi:
https://[Π°Π΄ΡΠ΅Ρ ΡΠ°ΠΉΡΠ°]/β¦/β¦/40261/β¦
Kwa hivyo, ilitosha kuweka nambari ya chini inayoruhusiwa (7911) na kiwango cha juu (42926 - wakati wa mazingira magumu) kuhesabu idadi ya jumla (35015) ya ripoti kwenye mfumo na hata (ikiwa kulikuwa na nia mbaya) kupakua. zote na hati rahisi.
Miongoni mwa data zilizopatikana kwa kutazamwa ni: jina kamili la daktari na mgonjwa, tarehe za kuzaliwa kwa daktari na mgonjwa, nambari za simu za daktari na mgonjwa, jinsia ya daktari na mgonjwa, barua pepe za daktari na mgonjwa, utaalamu wa daktari. , tarehe ya mashauriano, gharama ya mashauriano na katika baadhi ya matukio hata utambuzi ( kama maoni kwa ripoti).
Udhaifu huu kimsingi unafanana sana na ule uliokuwa kwenye seva ya shirika la fedha ndogo "Zaimograd". Kisha, kwa kutafuta, iliwezekana kupata mikataba 36763 iliyo na data kamili ya pasipoti ya wateja wa shirika.
Kama nilivyoonyesha tangu mwanzo, wafanyikazi wa Daktari wa Karibu walionyesha taaluma ya kweli na licha ya ukweli kwamba niliwajulisha juu ya hatari hiyo saa 23:00 (saa ya Moscow), ufikiaji wa akaunti yangu ya kibinafsi ulifungwa mara moja kwa kila mtu, na kwa 1: 00 ( Wakati wa Moscow) udhaifu huu umewekwa.
Siwezi kujizuia lakini kupiga teke tena idara ya PR ya DOC+ sawa (New Medicine LLC). Kutangaza"Kiasi kidogo cha data kilitolewa kwa umma kwa muda", wanapoteza mtazamo wa ukweli kwamba tuna data ya "udhibiti wa malengo", ambayo ni injini ya utafutaji ya Shodan. Kama ilivyoonyeshwa kwa usahihi katika maoni ya kifungu hicho - kulingana na Shodan, tarehe ya urekebishaji wa kwanza wa seva ya ClickHouse kwenye anwani ya IP ya DOC+: 15.02.2019/03/08 00:17.03.2019:09, tarehe ya urekebishaji wa mwisho: 52/ 00/40 XNUMX:XNUMX:XNUMX. Saizi ya hifadhidata ni karibu XNUMX GB.
Kulikuwa na marekebisho 15 kwa jumla:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Kutoka kwa taarifa hiyo inaonekana kwa muda mfupi ni zaidi ya mwezi mmoja, lakini kiasi kidogo cha data hii ni takriban 40 gigabytes. Naam sijui...
Lakini wacha turudi kwa "Daktari Yuko Karibu."
Kwa sasa, paranoia yangu ya kitaalam inasumbuliwa na shida moja ndogo iliyobaki - kwa majibu ya seva unaweza kujua idadi ya ripoti kwenye mfumo. Unapojaribu kupata ripoti kutoka kwa URL ambayo haipatikani (lakini ripoti yenyewe inapatikana), seva inarudi KUFIKIA_IMEKATAA, na unapojaribu kupata ripoti ambayo haipo, inarudi HAIPATIKANI. Kwa kufuatilia ongezeko la idadi ya ripoti katika mfumo kwa muda (mara moja kwa wiki, mwezi, nk), unaweza kutathmini mzigo wa kazi wa huduma na kiasi cha huduma zinazotolewa. Hii, bila shaka, haikiuki data ya kibinafsi ya wagonjwa na madaktari, lakini inaweza kuwa ukiukwaji wa siri za biashara za kampuni.
Chanzo: mapenzi.com