ஓரிரு நாட்களுக்கு முன்புதான் ஐ ரஷியன் ஆன்லைன் மருத்துவ சேவை DOC+ ஆனது எப்படி ஒரு தரவுத்தளத்தை பொது களத்தில் விரிவான அணுகல் பதிவுகளை விட்டுச் சென்றது என்பது பற்றி Habré இல், நோயாளிகள் மற்றும் சேவை ஊழியர்களின் தரவைப் பெறலாம். இங்கே ஒரு புதிய சம்பவம், மற்றொரு ரஷ்ய சேவையுடன் நோயாளிகளுக்கு மருத்துவர்களுடன் ஆன்லைன் ஆலோசனைகளை வழங்குகிறது - “அருகில் உள்ள மருத்துவர்” (www.drclinics.ru).
டாக்டரின் போதுமான அளவு ஊழியர்களுக்கு அருகில் இருப்பதால், பாதிப்பு விரைவாக (இரவில் அறிவிக்கப்பட்ட தருணத்திலிருந்து 2 மணிநேரம்!) நீக்கப்பட்டது மற்றும் பெரும்பாலும் தனிப்பட்ட மற்றும் மருத்துவ தரவு கசிவு இல்லை என்று நான் இப்போதே எழுதுவேன். DOC+ சம்பவத்தைப் போலல்லாமல், 3.5 ஜிபி அளவிலான தரவைக் கொண்ட ஒரு json கோப்பு "திறந்த உலகில்" முடிந்தது என்பதை நான் உறுதியாக அறிவேன், மேலும் அதிகாரப்பூர்வ நிலை பின்வருமாறு: "ஒரு சிறிய அளவிலான தரவு தற்காலிகமாக பொதுவில் கிடைக்கிறது, இது DOC+ சேவையின் ஊழியர்கள் மற்றும் பயனர்களுக்கு எதிர்மறையான விளைவுகளை ஏற்படுத்தாது.".
என்னுடன், டெலிகிராம் சேனலின் உரிமையாளராக "", ஒரு அநாமதேய சந்தாதாரர் தொடர்பு கொண்டு www.drclinics.ru என்ற இணையதளத்தில் ஒரு சாத்தியமான பாதிப்பைப் புகாரளித்தார்.
பாதிப்பின் சாராம்சம் என்னவென்றால், URL ஐ அறிந்து, உங்கள் கணக்கின் கீழ் உள்ள கணினியில் இருப்பதால், நீங்கள் மற்ற நோயாளிகளின் தரவைப் பார்க்கலாம்.
மருத்துவர் அருகிலுள்ள கணினியில் புதிய கணக்கைப் பதிவு செய்ய, உறுதிப்படுத்தல் எஸ்எம்எஸ் அனுப்பப்படும் மொபைல் ஃபோன் எண் மட்டுமே உங்களுக்குத் தேவை, எனவே யாரும் தங்கள் தனிப்பட்ட கணக்கில் உள்நுழைவதில் எந்தப் பிரச்சனையும் இருக்க முடியாது.
பயனர் தனது தனிப்பட்ட கணக்கில் உள்நுழைந்த பிறகு, அவர் உடனடியாக, அவரது உலாவியின் முகவரிப் பட்டியில் உள்ள URL ஐ மாற்றுவதன் மூலம், நோயாளிகளின் தனிப்பட்ட தரவு மற்றும் மருத்துவ நோயறிதல்களைக் கொண்ட அறிக்கைகளைப் பார்க்கலாம்.
ஒரு குறிப்பிடத்தக்க சிக்கல் என்னவென்றால், சேவையானது தொடர்ச்சியான அறிக்கைகளின் எண்ணிக்கையைப் பயன்படுத்துகிறது மற்றும் ஏற்கனவே இந்த எண்களிலிருந்து URL ஐ உருவாக்குகிறது:
https://[адрес сайта]/…/…/40261/…
எனவே, கணினியில் உள்ள அறிக்கைகளின் மொத்த எண்ணிக்கையை (7911) கணக்கிட அனுமதிக்கப்பட்ட குறைந்தபட்ச எண் (42926) மற்றும் அதிகபட்சம் (35015 - பாதிப்பு நேரத்தில்) மற்றும் (தீங்கிழைக்கும் நோக்கம் இருந்தால்) பதிவிறக்கம் செய்ய போதுமானதாக இருந்தது. அவை அனைத்தும் ஒரு எளிய ஸ்கிரிப்டுடன்.
பார்வைக்கு கிடைக்கக்கூடிய தரவுகளில்: மருத்துவர் மற்றும் நோயாளியின் முழுப் பெயர், மருத்துவர் மற்றும் நோயாளியின் பிறந்த தேதிகள், மருத்துவர் மற்றும் நோயாளியின் தொலைபேசி எண்கள், மருத்துவர் மற்றும் நோயாளியின் பாலினம், மருத்துவர் மற்றும் நோயாளியின் மின்னஞ்சல் முகவரிகள், மருத்துவரின் சிறப்பு , ஆலோசனை தேதி, ஆலோசனை செலவு மற்றும் சில சந்தர்ப்பங்களில் கூட நோயறிதல் (அறிக்கைக்கு ஒரு கருத்து).
இந்த பாதிப்பு அடிப்படையில் இருந்ததைப் போலவே உள்ளது "Zaimograd" என்ற நுண்நிதி அமைப்பின் சேவையகத்தில். பின்னர், தேடுவதன் மூலம், நிறுவனத்தின் வாடிக்கையாளர்களின் முழு பாஸ்போர்ட் தரவையும் கொண்ட 36763 ஒப்பந்தங்களைப் பெற முடிந்தது.
நான் ஆரம்பத்தில் இருந்தே சுட்டிக்காட்டியபடி, அருகிலுள்ள மருத்துவர் ஊழியர்கள் உண்மையான நிபுணத்துவத்தைக் காட்டினர், மேலும் 23:00 மணிக்கு (மாஸ்கோ நேரம்) பாதிப்பு குறித்து அவர்களுக்குத் தெரிவித்த போதிலும், எனது தனிப்பட்ட கணக்கிற்கான அணுகல் உடனடியாக அனைவருக்கும் மூடப்பட்டது, மேலும் 1: 00 (மாஸ்கோ நேரம்) இந்த பாதிப்பு சரி செய்யப்பட்டது.
அதே DOC+ (New Medicine LLC) இன் PR துறையை மீண்டும் ஒருமுறை உதைக்காமல் இருக்க முடியவில்லை. அறிவிக்கிறது"ஒரு சிறிய அளவிலான தரவு தற்காலிகமாக பொதுவில் கிடைக்கும்“, ஷோடான் தேடுபொறி என்ற “புறநிலைக் கட்டுப்பாடு” தரவு எங்களிடம் உள்ளது என்ற உண்மையை அவர்கள் இழக்கிறார்கள். அந்தக் கட்டுரைக்கான கருத்துகளில் சரியாகக் குறிப்பிட்டுள்ளபடி - ஷோடனின் கூற்றுப்படி, DOC+ IP முகவரியில் திறந்த கிளிக்ஹவுஸ் சேவையகத்தின் முதல் சரிசெய்தல் தேதி: 15.02.2019/03/08 00:17.03.2019:09, கடைசியாக சரிசெய்த தேதி: 52/ 00/40 XNUMX:XNUMX:XNUMX. தரவுத்தள அளவு சுமார் XNUMX ஜிபி.
மொத்தம் 15 திருத்தங்கள் இருந்தன:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00அறிக்கையிலிருந்து தெரிகிறது தற்காலிகமாக இது ஒரு மாதத்திற்கு சற்று அதிகமாகும், ஆனால் சிறிய அளவு தரவு இது தோராயமாக 40 ஜிகாபைட் ஆகும். எனக்கு தெரியாது…
ஆனால் "டாக்டர் அருகில் இருக்கிறார்" என்பதற்கு திரும்புவோம்.
இந்த நேரத்தில், எனது தொழில்முறை சித்தப்பிரமை ஒரே ஒரு சிறிய சிக்கலால் வேட்டையாடப்படுகிறது - சேவையக பதிலின் மூலம் கணினியில் உள்ள அறிக்கைகளின் எண்ணிக்கையை நீங்கள் கண்டுபிடிக்கலாம். அணுக முடியாத ஒரு URL இலிருந்து அறிக்கையைப் பெற முயற்சிக்கும்போது (அறிக்கையே கிடைக்கிறது), சேவையகம் திரும்பும் ACCESS_DENIED, மற்றும் இல்லாத அறிக்கையைப் பெற முயற்சிக்கும்போது, அது திரும்பும் கிடைக்கவில்லை. காலப்போக்கில் கணினியில் உள்ள அறிக்கைகளின் எண்ணிக்கை அதிகரிப்பதைக் கண்காணிப்பதன் மூலம் (வாரத்திற்கு ஒரு முறை, மாதம், முதலியன), நீங்கள் சேவையின் பணிச்சுமை மற்றும் வழங்கப்பட்ட சேவைகளின் அளவை மதிப்பிடலாம். இது, நிச்சயமாக, நோயாளிகள் மற்றும் மருத்துவர்களின் தனிப்பட்ட தரவை மீறுவதில்லை, ஆனால் இது நிறுவனத்தின் வர்த்தக ரகசியங்களை மீறுவதாக இருக்கலாம்.
ஆதாரம்: www.habr.com