టెలిమెడిసిన్ కంపెనీ నుండి డేటా లీక్ (ఇది జరిగి ఉండవచ్చు, కానీ జరగలేదు).

కొద్ది రోజుల క్రితం ఐ నేను వ్రాసిన హబ్రేలో రష్యన్ ఆన్‌లైన్ వైద్య సేవ DOC+ పబ్లిక్ డొమైన్‌లో వివరణాత్మక యాక్సెస్ లాగ్‌లతో డేటాబేస్‌ను ఎలా వదిలివేయగలిగింది, దీని నుండి రోగులు మరియు సేవా ఉద్యోగుల డేటాను పొందవచ్చు. రోగులకు వైద్యులతో ఆన్‌లైన్ సంప్రదింపులను అందించే మరొక రష్యన్ సేవతో ఇక్కడ ఒక కొత్త సంఘటన ఉంది - “డాక్టర్ దగ్గరి” (www.drclinics.ru).

డాక్టర్ యొక్క సమర్ధతకు ధన్యవాదాలు, సిబ్బంది సమీపంలో ఉన్నారు, దుర్బలత్వం త్వరగా (రాత్రి నోటిఫికేషన్ క్షణం నుండి 2 గంటలు!) తొలగించబడిందని మరియు వ్యక్తిగత మరియు వైద్య డేటా లీక్ కాలేదని నేను వెంటనే వ్రాస్తాను. DOC+ సంఘటన వలె కాకుండా, డేటాతో కనీసం ఒక json ఫైల్, 3.5 GB పరిమాణంలో "ఓపెన్ వరల్డ్"లో ముగిసిందని నాకు ఖచ్చితంగా తెలుసు మరియు అధికారిక స్థానం ఇలా కనిపిస్తుంది: "కొద్ది మొత్తంలో డేటా తాత్కాలికంగా పబ్లిక్‌గా అందుబాటులోకి వచ్చింది, ఇది DOC+ సేవ యొక్క ఉద్యోగులు మరియు వినియోగదారులకు ప్రతికూల పరిణామాలకు దారితీయదు.".

నాతో, టెలిగ్రామ్ ఛానెల్ యజమానిగా "సమాచారం లీక్", www.drclinics.ru వెబ్‌సైట్‌లో ఒక అనామక చందాదారు సంప్రదించి, సంభావ్య దుర్బలత్వాన్ని నివేదించారు.

దుర్బలత్వం యొక్క సారాంశం ఏమిటంటే, URLని తెలుసుకోవడం మరియు మీ ఖాతా కింద ఉన్న సిస్టమ్‌లో ఉండటం, మీరు ఇతర రోగుల డేటాను వీక్షించవచ్చు.

డాక్టర్ దగ్గరి సిస్టమ్‌లో కొత్త ఖాతాను నమోదు చేయడానికి, మీకు నిర్ధారణ SMS పంపబడే మొబైల్ ఫోన్ నంబర్ మాత్రమే అవసరం, కాబట్టి ఎవరికీ వారి వ్యక్తిగత ఖాతాకు లాగిన్ చేయడంలో సమస్యలు ఉండవు.

వినియోగదారు తన వ్యక్తిగత ఖాతాలోకి లాగిన్ చేసిన తర్వాత, అతను వెంటనే, తన బ్రౌజర్ యొక్క చిరునామా బార్‌లోని URLని మార్చడం ద్వారా, రోగుల వ్యక్తిగత డేటాను కలిగి ఉన్న నివేదికలను మరియు వైద్య నిర్ధారణలను కూడా చూడవచ్చు.

ఒక ముఖ్యమైన సమస్య ఏమిటంటే, సేవ నిరంతర నివేదికల సంఖ్యను ఉపయోగిస్తుంది మరియు ఇప్పటికే ఈ నంబర్‌ల నుండి URLని ఏర్పరుస్తుంది:

https://[адрес сайта]/…/…/40261/…

కాబట్టి, సిస్టమ్‌లోని మొత్తం నివేదికల సంఖ్య (7911)ను లెక్కించడానికి మరియు (హానికరమైన ఉద్దేశం ఉన్నట్లయితే) డౌన్‌లోడ్ చేయడానికి అనుమతించబడిన కనీస సంఖ్య (42926) మరియు గరిష్టంగా (35015 - దుర్బలత్వం సమయంలో) సెట్ చేస్తే సరిపోతుంది. అవన్నీ సాధారణ స్క్రిప్ట్‌తో.

వీక్షించడానికి అందుబాటులో ఉన్న డేటాలో ఇవి ఉన్నాయి: డాక్టర్ మరియు రోగి యొక్క పూర్తి పేరు, డాక్టర్ మరియు రోగి పుట్టిన తేదీలు, డాక్టర్ మరియు రోగి యొక్క టెలిఫోన్ నంబర్లు, డాక్టర్ మరియు రోగి యొక్క లింగం, డాక్టర్ మరియు రోగి యొక్క ఇమెయిల్ చిరునామాలు, డాక్టర్ స్పెషలైజేషన్ , సంప్రదింపు తేదీ, సంప్రదింపుల ఖర్చు మరియు కొన్ని సందర్భాల్లో రోగనిర్ధారణ కూడా (నివేదికకు వ్యాఖ్యగా).

ఈ దుర్బలత్వం తప్పనిసరిగా ఉన్న దానితో సమానంగా ఉంటుంది డిసెంబర్ 2017లో కనుగొనబడింది మైక్రోఫైనాన్స్ సంస్థ "జైమోగ్రాడ్" యొక్క సర్వర్‌లో. అప్పుడు, శోధించడం ద్వారా, సంస్థ యొక్క ఖాతాదారుల పూర్తి పాస్‌పోర్ట్ డేటాను కలిగి ఉన్న 36763 ఒప్పందాలను పొందడం సాధ్యమైంది.

నేను మొదటి నుంచీ సూచించినట్లుగా, డాక్టర్ దగ్గరి ఉద్యోగులు నిజమైన వృత్తి నైపుణ్యాన్ని ప్రదర్శించారు మరియు నేను 23:00 (మాస్కో సమయం)కి దుర్బలత్వం గురించి వారికి తెలియజేసినప్పటికీ, నా వ్యక్తిగత ఖాతాకు ప్రాప్యత వెంటనే అందరికీ మూసివేయబడింది మరియు 1 నాటికి: 00 (మాస్కో సమయం) ఈ దుర్బలత్వం పరిష్కరించబడింది.

అదే DOC+ (న్యూ మెడిసిన్ LLC)కి చెందిన PR డిపార్ట్‌మెంట్‌ని మరోసారి తన్నడం నేను సహాయం చేయలేను. ప్రకటించడం"కొద్ది మొత్తంలో డేటా తాత్కాలికంగా పబ్లిక్‌గా అందుబాటులో ఉంచబడింది“, వారు మా వద్ద “ఆబ్జెక్టివ్ కంట్రోల్” డేటాను కలిగి ఉన్నారనే వాస్తవాన్ని వారు కోల్పోతారు, అవి షోడాన్ శోధన ఇంజిన్. ఆ కథనానికి వ్యాఖ్యలలో సరిగ్గా గుర్తించినట్లుగా - షోడాన్ ప్రకారం, DOC+ IP చిరునామాలో ఓపెన్ క్లిక్‌హౌస్ సర్వర్ యొక్క మొదటి స్థిరీకరణ తేదీ: 15.02.2019/03/08 00:17.03.2019:09, చివరి స్థిరీకరణ తేదీ: 52/ 00/40 XNUMX:XNUMX:XNUMX. డేటాబేస్ పరిమాణం సుమారు XNUMX GB.

మొత్తం 15 స్థిరీకరణలు ఉన్నాయి:

15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00

ప్రకటనను బట్టి తెలుస్తోంది తాత్కాలికంగా ఇది ఒక నెల కంటే కొంచెం ఎక్కువ, కానీ చిన్న మొత్తంలో డేటా ఇది దాదాపు 40 గిగాబైట్‌లు. బాగా, నాకు తెలియదు ...

అయితే "డాక్టర్ దగ్గరలో ఉన్నాడు"కి తిరిగి వెళ్దాం.

ప్రస్తుతానికి, నా వృత్తిపరమైన మతిస్థిమితం మాత్రమే మిగిలి ఉన్న ఒక చిన్న సమస్య వెంటాడుతోంది - సర్వర్ ప్రతిస్పందన ద్వారా మీరు సిస్టమ్‌లోని నివేదికల సంఖ్యను కనుగొనవచ్చు. మీరు యాక్సెస్ చేయలేని URL నుండి నివేదికను పొందడానికి ప్రయత్నించినప్పుడు (కానీ నివేదిక అందుబాటులో ఉంది), సర్వర్ తిరిగి వస్తుంది అనుమతి నిరాకరించడం అయినది, మరియు మీరు ఉనికిలో లేని నివేదికను పొందడానికి ప్రయత్నించినప్పుడు, అది తిరిగి వస్తుంది దొరకలేదు. కాలక్రమేణా సిస్టమ్‌లోని నివేదికల సంఖ్య పెరుగుదలను పర్యవేక్షించడం ద్వారా (వారానికి ఒకసారి, నెల, మొదలైనవి), మీరు సేవ యొక్క పనిభారాన్ని మరియు అందించిన సేవల పరిమాణాన్ని అంచనా వేయవచ్చు. ఇది, వాస్తవానికి, రోగులు మరియు వైద్యుల వ్యక్తిగత డేటాను ఉల్లంఘించదు, అయితే ఇది సంస్థ యొక్క వాణిజ్య రహస్యాలను ఉల్లంఘించవచ్చు.

మూలం: www.habr.com