మీ విశ్లేషణలన్నీ పబ్లిక్‌గా అందుబాటులో ఉన్నాయి

మళ్ళీ హలో! నేను మీ కోసం మెడికల్ డేటాతో కూడిన ఓపెన్ డేటాబేస్‌ని మళ్లీ కనుగొన్నాను. ఈ అంశంపై ఇటీవల నా మూడు కథనాలు ఉన్నాయని నేను మీకు గుర్తు చేస్తాను: ఆన్‌లైన్ వైద్య సేవ DOC+ నుండి రోగులు మరియు వైద్యుల వ్యక్తిగత డేటా లీక్, "డాక్టర్ సమీపంలోని" సేవ యొక్క దుర్బలత్వం и అంబులెన్స్ స్టేషన్ల నుండి డేటా లీక్.

ఈసారి, లాబొరేటరీ నెట్‌వర్క్ యొక్క మెడికల్ IT సిస్టమ్ నుండి లాగ్‌లతో సాగే శోధన సర్వర్ పబ్లిక్‌గా అందుబాటులో ఉంది.మాలిక్యులర్ డయాగ్నోస్టిక్స్ కోసం కేంద్రం"(CMD, www.cmd-online.ru).

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Информация взята либо из открытых источников, либо была предоставлена автору анонимными доброжелателями.

సర్వర్ ఏప్రిల్ 1వ తేదీ ఉదయం కనుగొనబడింది మరియు అది నాకు ఫన్నీగా అనిపించలేదు. సమస్య గురించిన నోటిఫికేషన్ సుమారు ఉదయం 10 గంటలకు (మాస్కో సమయం) CMDకి వెళ్లింది మరియు సుమారు 15:00 గంటలకు డేటాబేస్ అందుబాటులో లేకుండా పోయింది.

షోడాన్ శోధన ఇంజిన్ ప్రకారం, ఈ సర్వర్ మొదట 09.03.2019/XNUMX/XNUMXన పబ్లిక్‌గా అందుబాటులోకి వచ్చింది. దాని గురించి ఎలాస్టిక్‌సెర్చ్ ఓపెన్ డేటాబేస్‌లను ఎలా గుర్తిస్తుంది, నేను ఒక ప్రత్యేక వ్యాసం రాశాను.

లాగ్‌ల నుండి చాలా సున్నితమైన సమాచారాన్ని పొందవచ్చు పూర్తి పేరు, లింగం, రోగుల పుట్టిన తేదీలు, వైద్యుల పూర్తి పేర్లు, పరిశోధన ఖర్చు, పరిశోధన డేటా, స్క్రీనింగ్ ఫలితాలతో కూడిన ఫైల్‌లు మరియు మరింత.

రోగి పరీక్ష ఫలితాలతో లాగ్ యొక్క ఉదాహరణ:

"<Message FromSystem="CMDLis" ToSystem="Any" Date="2019-02-26T14:40:23.773"><Patient ID="9663150" Code="A18196930" Family="XXX" Name="XXX" Patronymic="XXX" BornDate="XXX-03-29" SexType="F"><Document>Паспорт</Document><Order ID="11616539" Number="DWW9867570" State="normal" Date="2017-11-29T12:58:26.933" Department="1513" DepartmentAltey="13232" DepartmentName="Смайл Элит" FullPrice="1404.0000" Price="1404.0000" Debt="1404.0000" NaprOrdered="2" NaprCompleted="2" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" Registrator="A759" Doctor="A75619" DoctorFamily="XXX" DoctorName="XXX" DoctorPatronymic="XXX"><OrderInfo Name="TEMP_CODE">0423BF97FA5E</OrderInfo><OrderInfo Name="Беременность">-1</OrderInfo><OrderInfo Name="Пин">DWW98675708386841791</OrderInfo><OrderInfo Name="СкидкаНаЗаказ">0</OrderInfo><OrderInfo Name="СМКдействителенДо">18.03.2019</OrderInfo><OrderInfo Name="СМКсертификат">РОСС RU.13СК03.00601</OrderInfo><Serv Link="1" PathologyServ="1" Code="110101" Name="Общий анализ мочи (Urine test) с микроскопией осадка" Priority="NORMAL" FullPrice="98.0000" Price="98.0000" ReadyDate="2017-11-30T07:30:01" FinishDate="2017-11-29T20:14:22.160" State="normal"/><Serv Link="2" Code="300024" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Priority="NORMAL" FullPrice="1306.0000" Price="1306.0000" ReadyDate="2017-12-01T07:30:01" FinishDate="2017-11-29T20:39:52.870" State="normal"/><Probe ID="64213791" Number="3716965325" Date="2017-11-29T00:00:00" OuterNumber="66477805" Barcode="3716965325" Biomater="66" BiomaterName="Кровь (сыворотка)" Type="physical"><Probe ID="64213796" Number="P80V0018" Date="2017-11-29T12:58:26.933" Biomater="66" BiomaterName="Кровь (сыворотка)" WorkList="80" WorkListName="Пренатальный скрининг" Type="virtual"><Param State="Valid" User="A872" UserFIO="XXX" UserStaff="Врач КЛД" Code="3005" guid="7BA0745FD502A80C73C2CAD341610598" Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Group="ПРЕНАТАЛЬНЫЙ СКРИНИНГ" GroupCode="80" GroupSort="0" Page="1" Sort="2"><LinkServ IsOptional="0">2</LinkServ><Result Name="Пренатальный скрининг II триместра беременности, расчет риска хромосомных аномалий плода, программа LifeCycle (DELFIA)" Value="Готов (см.приложение)" User="A872" UserFIO="XXX" Date="2017-11-29T20:39:03.370" isVisible="1" HidePathology="0" IsNew="0"><File Name="Пренатальный скрининг 2 триместр_page1.png" Type="image" Format="png" Title="3716965325_prenetal2_page1" Description="Пренатальный скрининг 2 триместр_page1" Sort="1">iVBORw0KGgoAAAANSUhEUgAABfoAAAfuCAIAAAArOR8rAAD//0lEQVR4Xuy9P7BtQ7u+/e3oECF6iRAhQoQI0SZCtIkQIdpEiBCxI0SIECFiV50qRKg6VYgQIUKEiDfiRL7rnPtXz+nqHnPMsfb6s+cc61rBqjl79Oh++uoe/eceT/c8888///

నేను అన్ని సున్నితమైన డేటాను "X"తో నింపాను. వాస్తవానికి, ప్రతిదీ తెరిచి ఉంచబడింది.

అటువంటి లాగ్‌ల నుండి స్క్రీనింగ్ ఫలితాలతో PNG ఫైల్‌లను పొందడం సులభం (Base64 నుండి మార్చడం ద్వారా), ఇప్పటికే సులభంగా చదవగలిగే రూపంలో:

లాగ్‌ల మొత్తం పరిమాణం 400 MBని మించిపోయింది మరియు మొత్తంగా అవి మిలియన్ కంటే ఎక్కువ ఎంట్రీలను కలిగి ఉన్నాయి. ప్రతి రికార్డ్ ప్రత్యేకమైన రోగి డేటాను సూచించదని స్పష్టంగా తెలుస్తుంది.

CMD నుండి అధికారిక ప్రతిస్పందన:

ఎలాస్టిక్‌సెర్చ్ ఎర్రర్ లాగింగ్ మరియు స్టోరేజ్ డేటాబేస్‌లో దుర్బలత్వం ఉనికి గురించి సమాచారాన్ని తక్షణమే ఏప్రిల్ 01.04.2019, XNUMXన ప్రసారం చేసినందుకు మేము మీకు ధన్యవాదాలు తెలియజేస్తున్నాము.

ఈ సమాచారం ఆధారంగా, మా ఉద్యోగులు, సంబంధిత నిపుణులతో కలిసి, పేర్కొన్న డేటాబేస్‌కు పరిమిత ప్రాప్యతను కలిగి ఉన్నారు. సాంకేతిక డేటాబేస్కు రహస్య సమాచారాన్ని బదిలీ చేయడంలో లోపం పరిష్కరించబడింది.

సంఘటన యొక్క విశ్లేషణ సమయంలో, పబ్లిక్ డొమైన్‌లో లోపం లాగ్‌లతో పేర్కొన్న డేటాబేస్ కనిపించడం మానవ కారకానికి సంబంధించిన కారణం అని కనుగొనడం సాధ్యమైంది. డేటాకు యాక్సెస్ వెంటనే 01.04.2019/XNUMX/XNUMXన మూసివేయబడింది.

ప్రస్తుతానికి, అంతర్గత మరియు బాహ్య నిపుణులు డేటా రక్షణ కోసం IT మౌలిక సదుపాయాలను అదనంగా ఆడిట్ చేయడానికి చర్యలు తీసుకుంటున్నారు.

మా సంస్థ వ్యక్తిగత డేటా మరియు సిబ్బంది బాధ్యత స్థాయి వ్యవస్థతో పని చేయడానికి ప్రత్యేక నిబంధనలను అభివృద్ధి చేసింది.

ప్రస్తుత సాఫ్ట్‌వేర్ ఇన్‌ఫ్రాస్ట్రక్చర్ లోపాలను నిల్వ చేయడానికి సాగే శోధన డేటాబేస్‌ను ఉపయోగిస్తుంది. కొన్ని సిస్టమ్‌ల విశ్వసనీయతను మెరుగుపరచడానికి, సంబంధిత సర్వర్‌లు మా భాగస్వామి డేటా సెంటర్‌కు, ధృవీకరించబడిన సాఫ్ట్‌వేర్ మరియు హార్డ్‌వేర్ వాతావరణానికి తరలించబడతాయి.

సకాలంలో సమాచారం అందించినందుకు ధన్యవాదాలు.

ఇన్ఫర్మేషన్ లీక్‌లు మరియు ఇన్‌సైడర్‌ల గురించిన వార్తలు ఎల్లప్పుడూ నా టెలిగ్రామ్ ఛానెల్‌లో చూడవచ్చు "సమాచారం లీక్".

మూలం: www.habr.com