Буквально кілька днів тому я на Хабре про те, як російський медичний онлайн-сервіс DOC+ примудрився залишити у відкритому доступі базу даних із детальними логами доступу, з яких можна було отримати дані пацієнтів та співробітників сервісу. І ось новий інцидент, з уже іншим російським сервісом, який надає пацієнтам онлайн-консультації лікарів - "Доктор поруч" (www.drclinics.ru).
Напишу одразу, що завдяки адекватності співробітників «Доктор поруч», уразливість була швидко (2 години з моменту повідомлення вночі!) усунена і швидше за все витоку персональних та медичних даних не сталося. На відміну від інциденту з DOC+, де мені достеменно відомо, що як мінімум один json-файл з даними, розміром 3.5 Гб потрапив у «відкритий світ», а при цьому офіційна позиція виглядає так: «У відкритому доступі тимчасово виявився незначний обсяг даних, який не може призвести до негативних наслідків для співробітників та користувачів DOC+.".
Зі мною, як із власником Telegram-каналу «», Зв'язався анонімний передплатник і повідомив про потенційну вразливість на сайті www.drclinics.ru.
Суть уразливості полягала в тому, що, знаючи URL і перебуваючи в системі під своїм обліковим записом, можна було переглядати дані інших пацієнтів.
Для реєстрації нового облікового запису в системі «Доктор поруч» фактично потрібен лише номер мобільного телефону, на який приходить підтверджуюча СМС, тому проблем із входом до особистого кабінету виникнути ні в кого не могло.
Після того, як користувач заходив у особистий кабінет, він міг відразу, змінюючи URL в адресному рядку свого браузера, переглядати звіти, що містять персональні дані пацієнтів і навіть медичні діагнози.
Істотна проблема полягала в тому, що сервіс використовує наскрізну нумерацію звітів та з цих номерів вже формує URL:
https://[адрес сайта]/…/…/40261/…
Тому достатньо було встановити мінімальне допустиме число (7911) та максимальне (42926 — на момент наявності вразливості), щоб обчислити загальну кількість (35015) звітів у системі та навіть (за наявності злого наміру) викачати їх усе простим скриптом.
Серед доступних для перегляду даних були: ПІБ лікаря та пацієнта, дати народження лікаря та пацієнта, телефони лікаря та пацієнта, стать лікаря та пацієнта, адреси електронної пошти лікаря та пацієнта, спеціалізація лікаря, дата консультації, вартість консультації та в деяких випадках навіть діагноз ( у вигляді коментаря до звіту).
Ця вразливість насправді дуже схожа на ту, що була на сервері мікрофінансової організації "Займоград". Тоді перебором можна було отримати 36763 XNUMX договорів, що містять повні паспортні дані клієнтів організації.
Як я вказав із самого початку, співробітники «Доктор поруч» виявили реальний професіоналізм і незважаючи на те, що про вразливість я їм повідомив о 23:00 (Мск), доступ до особистого кабінету був одразу закритий для всіх, а до 1:00 ( Мск) дана вразливість була усунена.
Не можу не штовхнути ще раз PR-відділ того ж DOC+ (ТОВ «Нова Медицина»). Заявляючи «у відкритому доступі тимчасово виявився незначний обсяг даних», вони не зважають, що в нашому розпорядженні є дані «об'єктивного контролю», а саме пошуковик Shodan. Як вірно зауважили в коментарях до тієї статті — згідно з Shodan, дата першої фіксації відкритого сервера ClickHouse на IP-адресі DOC+: 15.02.2019 03:08:00, дата останньої фіксації: 17.03.2019 09:52:00. Обсяг бази даних близько 40 Гб.
А всього було 15 фіксацій:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Із заяви виходить, що тимчасово це трохи більше місяця, а незначний обсяг даних це приблизно 40 гігабайт. Ну не знаю…
Але повернемося до «Доктора поряд».
На даний момент моя професійна параною не дає спокою тільки по одній дрібній проблемі, що залишилася — за відповіддю сервера можна дізнатися кількість звітів у системі. Коли намагаєшся отримати звіт за URL-адресою, до якої немає доступу (але сам звіт при цьому є), то сервер повертає ACCESS_DENIED, а коли намагаєшся отримати звіт, якого немає, то повертається НЕ ЗНАЙДЕНО. Спостерігаючи за збільшенням кількості звітів у системі в динаміці (раз на тиждень, місяць тощо) можна оцінити завантаженість сервісу та обсяги послуг, що надаються. Це звичайно не порушує персональних даних пацієнтів та лікарів, але може бути порушенням комерційної таємниці компанії.
Джерело: habr.com