Sadece birkaç gün önce ben Habré'ye, Rus çevrimiçi tıbbi hizmeti DOC+'ın, hastaların ve hizmet çalışanlarının verilerinin alınabileceği, ayrıntılı erişim kayıtlarını kamuya açık bir şekilde bırakmayı nasıl başardığı hakkında konuştu. Ve işte hastalara doktorlarla çevrimiçi istişareler sağlayan başka bir Rus hizmeti olan "Yakındaki Doktor" (www.drclinics.ru) ile ilgili yeni bir olay.
Doctor is Near personelinin yeterliliği sayesinde güvenlik açığının hızlı bir şekilde (gece bildirim anından itibaren 2 saat sonra!) ortadan kaldırıldığını ve büyük olasılıkla kişisel ve tıbbi verilerde herhangi bir sızıntının yaşanmadığını hemen yazacağım. 3.5 GB boyutunda veri içeren en az bir json dosyasının "açık dünyaya" düştüğünden emin olduğum DOC+ olayından farklı olarak ve resmi durum şöyle görünüyor: "Az miktarda veri geçici olarak kamuya açık hale gelmiştir ve bu durum, DOC+ hizmetinin çalışanları ve kullanıcıları için olumsuz sonuçlara yol açamaz.".
Telegram kanalının sahibi olarak benimle "", anonim bir abone www.drclinics.ru web sitesinde temasa geçti ve olası bir güvenlik açığını bildirdi.
Güvenlik açığının özü, URL'yi bilerek ve hesabınız altında sistemde bulunarak diğer hastaların verilerini görüntüleyebilmenizdi.
Doctor Nearby sistemine yeni bir hesap kaydetmek için aslında yalnızca onay SMS'inin gönderildiği bir cep telefonu numarasına ihtiyacınız var, böylece hiç kimse kişisel hesabına giriş yaparken sorun yaşamayacak.
Kullanıcı kişisel hesabına giriş yaptıktan sonra tarayıcısının adres çubuğundaki URL'yi değiştirerek hastaların kişisel verilerini içeren raporları ve hatta tıbbi teşhisleri anında görüntüleyebiliyordu.
Önemli bir sorun, hizmetin raporların sürekli numaralandırılmasını kullanması ve bu numaralardan zaten bir URL oluşturmasıydı:
https://[адрес сайта]/…/…/40261/…
Bu nedenle, sistemdeki toplam rapor sayısını (7911) hesaplamak ve hatta (kötü niyet varsa) indirmek için izin verilen minimum sayıyı (42926) ve maksimumu (35015 - güvenlik açığı anında) ayarlamak yeterliydi. hepsi basit bir komut dosyasıyla.
Görüntülenebilecek veriler arasında şunlar vardı: doktor ve hastanın tam adı, doktor ve hastanın doğum tarihleri, doktor ve hastanın telefon numaraları, doktor ve hastanın cinsiyeti, doktor ve hastanın e-posta adresleri, doktorun uzmanlık alanı , konsültasyon tarihi, konsültasyon maliyeti ve hatta bazı durumlarda teşhis (rapora yorum olarak).
Bu güvenlik açığı aslında önceki güvenlik açığına çok benzer. mikrofinans organizasyonu “Zaimograd”ın sunucusunda. Daha sonra arama yaparak kuruluşun müşterilerinin tüm pasaport verilerini içeren 36763 sözleşmeye ulaşmak mümkün oldu.
En başından beri belirttiğim gibi, Doctor Nearby çalışanları gerçek bir profesyonellik gösterdiler ve onlara güvenlik açığı hakkında 23: 00'da (Moskova saati) bilgi vermeme rağmen, kişisel hesabıma erişim anında herkese kapatıldı ve 1: 00 (Moskova saati) bu güvenlik açığı giderildi.
Aynı DOC+'ın (New Medicine LLC) Halkla İlişkiler departmanını bir kez daha tekmelemekten kendimi alamıyorum. beyan ediyor"Az miktarda veri geçici olarak kamuya sunuldu", elimizdeki" nesnel kontrol "verilerinin, yani Shodan arama motorunun olduğu gerçeğini gözden kaçırıyorlar. Bu makaleye yapılan yorumlarda doğru bir şekilde belirtildiği gibi - Shodan'a göre, açık ClickHouse sunucusunun DOC+ IP adresine ilk sabitlenme tarihi: 15.02.2019 03:08:00, son sabitleme tarihi: 17.03.2019/ 09/52 00:40:XNUMX. Veritabanı boyutu yaklaşık XNUMX GB'dir.
Toplamda 15 tespit vardı:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Açıklamadan anlaşılıyor ki geçici olarak bir aydan biraz fazla oldu ama az miktarda veri bu yaklaşık 40 gigabayttır. İyi bilmiyorum…
Ama hadi "Doktor Yakınlarda" konusuna dönelim.
Şu anda, profesyonel paranoyamın peşini bırakmayan tek bir küçük sorun var - sunucunun yanıtından sistemdeki rapor sayısını öğrenebilirsiniz. Erişilemeyen bir URL'den rapor almaya çalıştığınızda (ancak raporun kendisi mevcuttur), sunucu şunu döndürür: ERİŞİM ENGELLENDİve var olmayan bir rapor almaya çalıştığınızda şunu döndürür: BULUNAMADI. Sistemdeki rapor sayısının zaman içindeki artışını (haftada bir, ayda bir vb.) takip ederek, hizmetin iş yükünü ve verilen hizmetin hacmini değerlendirebilirsiniz. Bu elbette hastaların ve doktorların kişisel verilerini ihlal etmiyor ancak şirketin ticari sırlarının ihlali olabilir.
Kaynak: habr.com