Ilang araw lang ang nakalipas on HabrΓ© tungkol sa kung paano nagawa ng Russian online na serbisyong medikal na DOC+ na mag-iwan ng database na may mga detalyadong log ng access sa pampublikong domain, kung saan maaaring makuha ang data ng mga pasyente at empleyado ng serbisyo. At narito ang isang bagong insidente, kasama ang isa pang serbisyo ng Russia na nagbibigay ng mga pasyente ng online na konsultasyon sa mga doktor - "Doctor Nearby" (www.drclinics.ru).
Isusulat ko kaagad na salamat sa kasapatan ng mga kawani ng Doctor is Near, ang kahinaan ay mabilis na naalis (2 oras mula sa sandali ng abiso sa gabi!) at malamang na walang pagtagas ng personal at medikal na data. Hindi tulad ng insidente ng DOC+, kung saan alam kong sigurado na kahit isang json file na may data, 3.5 GB ang laki, ay napunta sa "bukas na mundo", at ang opisyal na posisyon ay ganito: "Ang isang maliit na halaga ng data ay pansamantalang naging available sa publiko, na hindi maaaring humantong sa mga negatibong kahihinatnan para sa mga empleyado at mga gumagamit ng serbisyo ng DOC+.".
Kasama ko, bilang may-ari ng Telegram channel "", isang hindi kilalang subscriber ang nakipag-ugnayan at nag-ulat ng potensyal na kahinaan sa website na www.drclinics.ru.
Ang kakanyahan ng kahinaan ay na, sa pag-alam sa URL at pagiging nasa system sa ilalim ng iyong account, maaari mong tingnan ang data ng iba pang mga pasyente.
Upang magrehistro ng bagong account sa sistema ng Doctor Nearby, kailangan mo lang talaga ng numero ng mobile phone kung saan ipinapadala ang isang SMS ng kumpirmasyon, kaya walang sinuman ang maaaring magkaroon ng anumang mga problema sa pag-log in sa kanilang personal na account.
Matapos mag-log in ang user sa kanyang personal na account, maaari niyang agad, sa pamamagitan ng pagpapalit ng URL sa address bar ng kanyang browser, tingnan ang mga ulat na naglalaman ng personal na data ng mga pasyente at maging ang mga medikal na diagnosis.
Ang isang malaking problema ay ang serbisyo ay gumagamit ng tuluy-tuloy na pagbilang ng mga ulat at bumubuo na ng isang URL mula sa mga numerong ito:
https://[Π°Π΄ΡΠ΅Ρ ΡΠ°ΠΉΡΠ°]/β¦/β¦/40261/β¦
Samakatuwid, sapat na upang itakda ang minimum na pinapayagang numero (7911) at ang maximum (42926 - sa oras ng kahinaan) upang kalkulahin ang kabuuang bilang (35015) ng mga ulat sa system at kahit na (kung mayroong malisyosong layunin) na pag-download lahat sila ay may simpleng script.
Kabilang sa mga data na magagamit para tingnan ay ang: buong pangalan ng doktor at pasyente, mga petsa ng kapanganakan ng doktor at pasyente, mga numero ng telepono ng doktor at pasyente, kasarian ng doktor at pasyente, mga email address ng doktor at pasyente, espesyalisasyon ng doktor , petsa ng konsultasyon, halaga ng konsultasyon at sa ilang mga kaso kahit diagnosis ( bilang isang komento sa ulat).
Ang kahinaan na ito ay halos kapareho ng dati sa server ng microfinance organization na "Zaimograd". Pagkatapos, sa pamamagitan ng paghahanap, posibleng makakuha ng 36763 kontrata na naglalaman ng buong data ng pasaporte ng mga kliyente ng organisasyon.
Tulad ng ipinahiwatig ko sa simula pa lang, ang mga empleyado ng Doctor Nearby ay nagpakita ng tunay na propesyonalismo at sa kabila ng katotohanan na ipinaalam ko sa kanila ang tungkol sa kahinaan sa 23:00 (oras ng Moscow), ang pag-access sa aking personal na account ay agad na isinara sa lahat, at sa pamamagitan ng 1: 00 ( oras ng Moscow) naayos na ang kahinaang ito.
Hindi ko maiwasang sipain muli ang PR department ng parehong DOC+ (New Medicine LLC). Nagpapahayag"Ang isang maliit na halaga ng data ay pansamantalang ginawang available sa publiko", nalilimutan nila ang katotohanan na mayroon kaming "layunin na kontrol" na data sa aming pagtatapon, katulad ng Shodan search engine. Tulad ng wastong nabanggit sa mga komento sa artikulong iyon - ayon kay Shodan, ang petsa ng unang pag-aayos ng bukas na server ng ClickHouse sa DOC+ IP address: 15.02.2019/03/08 00:17.03.2019:09, petsa ng huling pag-aayos: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ang laki ng database ay tungkol sa XNUMX GB.
Mayroong 15 fixations sa kabuuan:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Mula sa pahayag ay lumalabas na pansamantalang ito ay isang maliit na higit sa isang buwan, ngunit maliit na halaga ng data ito ay humigit-kumulang 40 gigabytes. Well hindi ko alamβ¦
Ngunit bumalik tayo sa "The Doctor is Nearby."
Sa ngayon, ang aking propesyonal na paranoia ay pinagmumultuhan ng isang natitirang maliit na problema - sa pamamagitan ng tugon ng server maaari mong malaman ang bilang ng mga ulat sa system. Kapag sinubukan mong kumuha ng ulat mula sa isang URL na hindi naa-access (ngunit ang ulat mismo ay available), babalik ang server WALANG PAHINTULOT, at kapag sinubukan mong kumuha ng ulat na wala, babalik ito HINDI MAHANAP. Sa pamamagitan ng pagsubaybay sa pagtaas ng bilang ng mga ulat sa system sa paglipas ng panahon (isang beses sa isang linggo, buwan, atbp.), maaari mong masuri ang workload ng serbisyo at ang dami ng mga serbisyong ibinigay. Siyempre, hindi ito lumalabag sa personal na data ng mga pasyente at doktor, ngunit maaaring ito ay isang paglabag sa mga lihim ng kalakalan ng kumpanya.
Pinagmulan: www.habr.com