కొద్ది రోజుల క్రితం ఐ
డాక్టర్ యొక్క సమర్ధతకు ధన్యవాదాలు, సిబ్బంది సమీపంలో ఉన్నారు, దుర్బలత్వం త్వరగా (రాత్రి నోటిఫికేషన్ క్షణం నుండి 2 గంటలు!) తొలగించబడిందని మరియు వ్యక్తిగత మరియు వైద్య డేటా లీక్ కాలేదని నేను వెంటనే వ్రాస్తాను. DOC+ సంఘటన వలె కాకుండా, డేటాతో కనీసం ఒక json ఫైల్, 3.5 GB పరిమాణంలో "ఓపెన్ వరల్డ్"లో ముగిసిందని నాకు ఖచ్చితంగా తెలుసు మరియు అధికారిక స్థానం ఇలా కనిపిస్తుంది: "కొద్ది మొత్తంలో డేటా తాత్కాలికంగా పబ్లిక్గా అందుబాటులోకి వచ్చింది, ఇది DOC+ సేవ యొక్క ఉద్యోగులు మరియు వినియోగదారులకు ప్రతికూల పరిణామాలకు దారితీయదు.".
నాతో, టెలిగ్రామ్ ఛానెల్ యజమానిగా "
దుర్బలత్వం యొక్క సారాంశం ఏమిటంటే, URLని తెలుసుకోవడం మరియు మీ ఖాతా కింద ఉన్న సిస్టమ్లో ఉండటం, మీరు ఇతర రోగుల డేటాను వీక్షించవచ్చు.
డాక్టర్ దగ్గరి సిస్టమ్లో కొత్త ఖాతాను నమోదు చేయడానికి, మీకు నిర్ధారణ SMS పంపబడే మొబైల్ ఫోన్ నంబర్ మాత్రమే అవసరం, కాబట్టి ఎవరికీ వారి వ్యక్తిగత ఖాతాకు లాగిన్ చేయడంలో సమస్యలు ఉండవు.
వినియోగదారు తన వ్యక్తిగత ఖాతాలోకి లాగిన్ చేసిన తర్వాత, అతను వెంటనే, తన బ్రౌజర్ యొక్క చిరునామా బార్లోని URLని మార్చడం ద్వారా, రోగుల వ్యక్తిగత డేటాను కలిగి ఉన్న నివేదికలను మరియు వైద్య నిర్ధారణలను కూడా చూడవచ్చు.
ఒక ముఖ్యమైన సమస్య ఏమిటంటే, సేవ నిరంతర నివేదికల సంఖ్యను ఉపయోగిస్తుంది మరియు ఇప్పటికే ఈ నంబర్ల నుండి URLని ఏర్పరుస్తుంది:
https://[адрес сайта]/…/…/40261/…
కాబట్టి, సిస్టమ్లోని మొత్తం నివేదికల సంఖ్య (7911)ను లెక్కించడానికి మరియు (హానికరమైన ఉద్దేశం ఉన్నట్లయితే) డౌన్లోడ్ చేయడానికి అనుమతించబడిన కనీస సంఖ్య (42926) మరియు గరిష్టంగా (35015 - దుర్బలత్వం సమయంలో) సెట్ చేస్తే సరిపోతుంది. అవన్నీ సాధారణ స్క్రిప్ట్తో.
వీక్షించడానికి అందుబాటులో ఉన్న డేటాలో ఇవి ఉన్నాయి: డాక్టర్ మరియు రోగి యొక్క పూర్తి పేరు, డాక్టర్ మరియు రోగి పుట్టిన తేదీలు, డాక్టర్ మరియు రోగి యొక్క టెలిఫోన్ నంబర్లు, డాక్టర్ మరియు రోగి యొక్క లింగం, డాక్టర్ మరియు రోగి యొక్క ఇమెయిల్ చిరునామాలు, డాక్టర్ స్పెషలైజేషన్ , సంప్రదింపు తేదీ, సంప్రదింపుల ఖర్చు మరియు కొన్ని సందర్భాల్లో రోగనిర్ధారణ కూడా (నివేదికకు వ్యాఖ్యగా).
ఈ దుర్బలత్వం తప్పనిసరిగా ఉన్న దానితో సమానంగా ఉంటుంది
నేను మొదటి నుంచీ సూచించినట్లుగా, డాక్టర్ దగ్గరి ఉద్యోగులు నిజమైన వృత్తి నైపుణ్యాన్ని ప్రదర్శించారు మరియు నేను 23:00 (మాస్కో సమయం)కి దుర్బలత్వం గురించి వారికి తెలియజేసినప్పటికీ, నా వ్యక్తిగత ఖాతాకు ప్రాప్యత వెంటనే అందరికీ మూసివేయబడింది మరియు 1 నాటికి: 00 (మాస్కో సమయం) ఈ దుర్బలత్వం పరిష్కరించబడింది.
అదే DOC+ (న్యూ మెడిసిన్ LLC)కి చెందిన PR డిపార్ట్మెంట్ని మరోసారి తన్నడం నేను సహాయం చేయలేను. ప్రకటించడం"కొద్ది మొత్తంలో డేటా తాత్కాలికంగా పబ్లిక్గా అందుబాటులో ఉంచబడింది“, వారు మా వద్ద “ఆబ్జెక్టివ్ కంట్రోల్” డేటాను కలిగి ఉన్నారనే వాస్తవాన్ని వారు కోల్పోతారు, అవి షోడాన్ శోధన ఇంజిన్. ఆ కథనానికి వ్యాఖ్యలలో సరిగ్గా గుర్తించినట్లుగా - షోడాన్ ప్రకారం, DOC+ IP చిరునామాలో ఓపెన్ క్లిక్హౌస్ సర్వర్ యొక్క మొదటి స్థిరీకరణ తేదీ: 15.02.2019/03/08 00:17.03.2019:09, చివరి స్థిరీకరణ తేదీ: 52/ 00/40 XNUMX:XNUMX:XNUMX. డేటాబేస్ పరిమాణం సుమారు XNUMX GB.
మొత్తం 15 స్థిరీకరణలు ఉన్నాయి:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00
ప్రకటనను బట్టి తెలుస్తోంది తాత్కాలికంగా ఇది ఒక నెల కంటే కొంచెం ఎక్కువ, కానీ చిన్న మొత్తంలో డేటా ఇది దాదాపు 40 గిగాబైట్లు. బాగా, నాకు తెలియదు ...
అయితే "డాక్టర్ దగ్గరలో ఉన్నాడు"కి తిరిగి వెళ్దాం.
ప్రస్తుతానికి, నా వృత్తిపరమైన మతిస్థిమితం మాత్రమే మిగిలి ఉన్న ఒక చిన్న సమస్య వెంటాడుతోంది - సర్వర్ ప్రతిస్పందన ద్వారా మీరు సిస్టమ్లోని నివేదికల సంఖ్యను కనుగొనవచ్చు. మీరు యాక్సెస్ చేయలేని URL నుండి నివేదికను పొందడానికి ప్రయత్నించినప్పుడు (కానీ నివేదిక అందుబాటులో ఉంది), సర్వర్ తిరిగి వస్తుంది అనుమతి నిరాకరించడం అయినది, మరియు మీరు ఉనికిలో లేని నివేదికను పొందడానికి ప్రయత్నించినప్పుడు, అది తిరిగి వస్తుంది దొరకలేదు. కాలక్రమేణా సిస్టమ్లోని నివేదికల సంఖ్య పెరుగుదలను పర్యవేక్షించడం ద్వారా (వారానికి ఒకసారి, నెల, మొదలైనవి), మీరు సేవ యొక్క పనిభారాన్ని మరియు అందించిన సేవల పరిమాణాన్ని అంచనా వేయవచ్చు. ఇది, వాస్తవానికి, రోగులు మరియు వైద్యుల వ్యక్తిగత డేటాను ఉల్లంఘించదు, అయితే ఇది సంస్థ యొక్క వాణిజ్య రహస్యాలను ఉల్లంఘించవచ్చు.
మూలం: www.habr.com