เมื่อสองสามวันก่อนฉัน เกี่ยวกับ Habré เกี่ยวกับวิธีที่ DOC+ บริการทางการแพทย์ออนไลน์ของรัสเซียจัดการออกจากฐานข้อมูลพร้อมบันทึกการเข้าถึงโดยละเอียดในโดเมนสาธารณะ ซึ่งสามารถรับข้อมูลของผู้ป่วยและพนักงานบริการได้ และนี่คือเหตุการณ์ใหม่พร้อมบริการอื่นของรัสเซียที่ให้คำปรึกษาออนไลน์กับผู้ป่วยแก่ผู้ป่วย - "Doctor Near" (www.drclinics.ru)
ฉันจะเขียนทันทีว่าต้องขอบคุณเจ้าหน้าที่ Doctor is Near ที่เพียงพอ ช่องโหว่จึงหมดไปอย่างรวดเร็ว (2 ชั่วโมงนับจากการแจ้งเตือนในเวลากลางคืน!) และมีแนวโน้มว่าจะไม่มีการรั่วไหลของข้อมูลส่วนบุคคลและข้อมูลทางการแพทย์ ต่างจากเหตุการณ์ DOC+ ที่ฉันรู้แน่ว่าไฟล์ json อย่างน้อยหนึ่งไฟล์ที่มีข้อมูล ขนาด 3.5 GB ไปอยู่ใน "โลกเปิด" และตำแหน่งอย่างเป็นทางการมีลักษณะดังนี้: "ข้อมูลจำนวนเล็กน้อยเปิดเผยต่อสาธารณะชั่วคราว ซึ่งไม่สามารถนำไปสู่ผลกระทบด้านลบต่อพนักงานและผู้ใช้บริการ DOC+"
กับฉันในฐานะเจ้าของช่องโทรเลข”" สมาชิกที่ไม่เปิดเผยตัวตนได้ติดต่อและรายงานช่องโหว่ที่อาจเกิดขึ้นบนเว็บไซต์ www.drclinics.ru
สาระสำคัญของช่องโหว่คือเมื่อทราบ URL และอยู่ในระบบภายใต้บัญชีของคุณ คุณสามารถดูข้อมูลของผู้ป่วยรายอื่นได้
ในการลงทะเบียนบัญชีใหม่ในระบบ Doctor Near คุณเพียงต้องการหมายเลขโทรศัพท์มือถือที่มีการส่ง SMS ยืนยันเท่านั้น ดังนั้นจึงไม่มีใครมีปัญหาในการเข้าสู่บัญชีส่วนตัวของพวกเขา
หลังจากที่ผู้ใช้ลงชื่อเข้าใช้บัญชีส่วนตัวของเขา เขาสามารถทำได้ทันทีโดยการเปลี่ยน URL ในแถบที่อยู่ของเบราว์เซอร์ของเขา ดูรายงานที่มีข้อมูลส่วนบุคคลของผู้ป่วย และแม้แต่การวินิจฉัยทางการแพทย์
ปัญหาสำคัญคือบริการใช้รายงานจำนวนมากอย่างต่อเนื่องและสร้าง URL จากตัวเลขเหล่านี้แล้ว:
https://[адрес сайта]/…/…/40261/…
ดังนั้นจึงเพียงพอที่จะตั้งค่าจำนวนขั้นต่ำที่อนุญาต (7911) และสูงสุด (42926 - ณ เวลาที่เกิดช่องโหว่) เพื่อคำนวณจำนวนรายงานทั้งหมด (35015) ในระบบและแม้แต่การดาวน์โหลด (หากมีเจตนาร้าย) ทั้งหมดด้วยสคริปต์ง่ายๆ
ข้อมูลที่สามารถรับชมได้ ได้แก่ ชื่อนามสกุลของแพทย์และผู้ป่วย วันเกิดของแพทย์และผู้ป่วย หมายเลขโทรศัพท์ของแพทย์และผู้ป่วย เพศของแพทย์และผู้ป่วย ที่อยู่อีเมลของแพทย์และผู้ป่วย ความเชี่ยวชาญของแพทย์ , วันที่ให้คำปรึกษา, ค่าใช้จ่ายในการให้คำปรึกษาและในบางกรณีแม้กระทั่งการวินิจฉัย (ตามความคิดเห็นในรายงาน)
ช่องโหว่นี้มีความคล้ายคลึงกับช่องโหว่ที่เป็นอยู่มาก บนเซิร์ฟเวอร์ขององค์กรการเงินรายย่อย “Zaimograd” จากนั้น จากการค้นหา ก็เป็นไปได้ที่จะได้รับสัญญา 36763 ฉบับที่มีข้อมูลหนังสือเดินทางทั้งหมดของลูกค้าขององค์กร
ดังที่ฉันได้ระบุไว้ตั้งแต่ต้น พนักงานของ Doctor Near แสดงความเป็นมืออาชีพอย่างแท้จริง และแม้ว่าฉันจะแจ้งให้พวกเขาทราบเกี่ยวกับช่องโหว่เมื่อเวลา 23:00 น. (เวลามอสโก) แต่ทุกคนก็ปิดการเข้าถึงบัญชีส่วนตัวของฉันก็ทันที และภายในเวลา 1: 00 (เวลามอสโก) ช่องโหว่นี้ได้รับการแก้ไขแล้ว
ฉันอดไม่ได้ที่จะเตะแผนกประชาสัมพันธ์ของ DOC+ (New Medicine LLC) เดียวกันอีกครั้ง ประกาศ"ข้อมูลจำนวนเล็กน้อยถูกเปิดเผยต่อสาธารณะเป็นการชั่วคราว“ พวกเขาลืมความจริงที่ว่าเรามีข้อมูล "การควบคุมวัตถุประสงค์" ไว้คอยบริการของเรา นั่นคือเครื่องมือค้นหา Shodan ตามที่ระบุไว้อย่างถูกต้องในความคิดเห็นของบทความนั้น - ตามข้อมูลของ Shodan วันที่แก้ไขครั้งแรกของเซิร์ฟเวอร์ ClickHouse ที่เปิดบนที่อยู่ IP DOC+: 15.02.2019/03/08 00:17.03.2019:09 วันที่แก้ไขครั้งล่าสุด: 52/ 00/40 XNUMX:XNUMX:XNUMX น. ขนาดฐานข้อมูลประมาณ XNUMX GB
มีการแก้ไขทั้งหมด 15 รายการ:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00จากคำกล่าวปรากฏว่า ชั่วคราว เกินหนึ่งเดือนนิดหน่อยแต่ ข้อมูลจำนวนเล็กน้อย นี่คือประมาณ 40 กิกะไบต์ คือฉันไม่รู้…
แต่กลับมาที่ “หมออยู่ใกล้ๆ กัน”
ในขณะนี้ ความหวาดระแวงทางอาชีพของฉันถูกครอบงำโดยปัญหาเล็กๆ น้อยๆ ที่เหลืออยู่เพียงปัญหาเดียว - โดยการตอบกลับของเซิร์ฟเวอร์ คุณสามารถดูจำนวนรายงานในระบบได้ เมื่อคุณพยายามรับรายงานจาก URL ที่ไม่สามารถเข้าถึงได้ (แต่รายงานนั้นพร้อมใช้งาน) เซิร์ฟเวอร์จะส่งคืน ปฏิเสธการเข้าใช้และเมื่อคุณพยายามรับรายงานที่ไม่มีอยู่ รายงานก็จะส่งคืน ไม่พบ. ด้วยการตรวจสอบการเพิ่มขึ้นของจำนวนรายงานในระบบเมื่อเวลาผ่านไป (สัปดาห์ละครั้ง เดือน ฯลฯ) คุณสามารถประเมินปริมาณงานของบริการและปริมาณของบริการที่มีให้ แน่นอนว่าสิ่งนี้ไม่ได้ละเมิดข้อมูลส่วนบุคคลของผู้ป่วยและแพทย์ แต่อาจเป็นการละเมิดความลับทางการค้าของบริษัท
ที่มา: will.com