Bir necha kun oldin men Habré-da Rossiyaning DOC+ onlayn tibbiy xizmati bemor va xizmat xodimlarining ma'lumotlarini olish mumkin bo'lgan batafsil kirish jurnallari bilan ma'lumotlar bazasini jamoat mulki sifatida qoldirishga muvaffaq bo'lganligi haqida. Bemorlarga shifokorlar bilan onlayn maslahat berishni ta'minlaydigan yana bir rus xizmati - "Yaqindagi shifokor" (www.drclinics.ru) bilan yangi voqea.
Men darhol yozaman, "Doctor is Near" xodimlarining etarliligi tufayli zaiflik tezda yo'q qilindi (kechasi xabar berilgan paytdan boshlab 2 soat!) va shaxsiy va tibbiy ma'lumotlarning sizib chiqishi bo'lmagan. DOC+ hodisasidan farqli o'laroq, men aniq bilamanki, kamida bitta json fayli, hajmi 3.5 Gb, "ochiq dunyo"da tugadi va rasmiy pozitsiya quyidagicha: "Kichik miqdordagi ma'lumotlar vaqtincha ommaga ochiq bo'ldi, bu DOC+ xizmati xodimlari va foydalanuvchilari uchun salbiy oqibatlarga olib kelishi mumkin emas.".
Telegram kanali egasi sifatida men bilan "", anonim abonent bog'lanib, www.drclinics.ru veb-saytida yuzaga kelishi mumkin bo'lgan zaiflik haqida xabar berdi.
Zaiflikning mohiyati shundan iborat ediki, URL manzilini bilib, sizning hisobingiz ostidagi tizimda bo'lsangiz, siz boshqa bemorlarning ma'lumotlarini ko'rishingiz mumkin edi.
Doctor Nearby tizimida yangi hisob qaydnomasini ro'yxatdan o'tkazish uchun sizga faqat tasdiqlovchi SMS yuboriladigan mobil telefon raqami kerak, shuning uchun hech kim shaxsiy hisobiga kirishda muammoga duch kelmasligi mumkin.
Foydalanuvchi shaxsiy akkauntiga kirgandan so'ng, u darhol o'z brauzerining manzil satridagi URL manzilini o'zgartirib, bemorlarning shaxsiy ma'lumotlari va hatto tibbiy tashxislarni o'z ichiga olgan hisobotlarni ko'rishi mumkin edi.
Muhim muammo shundaki, xizmat hisobotlarni doimiy raqamlashdan foydalanadi va allaqachon ushbu raqamlardan URLni shakllantiradi:
https://[адрес сайта]/…/…/40261/…
Shuning uchun tizimdagi hisobotlarning umumiy sonini (7911) hisoblash va hatto (agar zararli niyat bo'lsa) yuklab olish uchun ruxsat etilgan minimal raqamni (42926) va maksimalni (35015 - zaiflik vaqtida) o'rnatish kifoya edi. ularning barchasi oddiy skript bilan.
Ko'rish uchun mavjud bo'lgan ma'lumotlar orasida: shifokor va bemorning to'liq ismi, shifokor va bemorning tug'ilgan sanasi, shifokor va bemorning telefon raqamlari, shifokor va bemorning jinsi, shifokor va bemorning elektron pochta manzillari, shifokorning ixtisosligi. , konsultatsiya sanasi, maslahat narxi va ba'zi hollarda hatto tashxis (hisobotga sharh sifatida).
Bu zaiflik aslida oldingisiga juda o'xshaydi “Zaimograd” mikromoliya tashkilotining serverida. Keyinchalik, qidiruv orqali tashkilot mijozlarining to'liq pasport ma'lumotlarini o'z ichiga olgan 36763 XNUMX ta shartnomani olish mumkin edi.
Men boshidan ta'kidlaganimdek, Doctor Nearby xodimlari haqiqiy professionallik ko'rsatishdi va men ularga zaiflik haqida 23:00 da (Moskva vaqti bilan) xabar bergan bo'lsam ham, mening shaxsiy hisobimga kirish hamma uchun darhol yopildi va 1: 00 (Moskva vaqti) bu zaiflik tuzatildi.
Men o'sha DOC+ ning (New Medicine MChJ) PR bo'limiga yana bir bor zarba bermay ilojim yo'q. e'lon qilish"Kichik hajmdagi maʼlumotlar vaqtincha ommaga ochiq boʻldi", ular bizning ixtiyorimizda "ob'ektiv nazorat" ma'lumotlari, ya'ni Shodan qidiruv tizimi mavjudligini unutishadi. O'sha maqolaga sharhlarda to'g'ri ta'kidlanganidek - Shodanga ko'ra, ochiq ClickHouse serverining DOC+ IP-manzilida birinchi fiksatsiya qilingan sana: 15.02.2019/03/08 00:17.03.2019:09, oxirgi fiksatsiya sanasi: 52/ 00/40 XNUMX:XNUMX:XNUMX. Ma'lumotlar bazasi hajmi taxminan XNUMX GB.
Hammasi bo'lib 15 ta tuzatish mavjud:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Bayonotdan ko'rinib turibdiki vaqtinchalik bir oydan sal ko'proq vaqt o'tdi, lekin kichik hajmdagi ma'lumotlar bu taxminan 40 gigabayt. Bilmayman…
Ammo keling, "Doktor yaqinda" ga qaytaylik.
Ayni paytda mening professional paranoyam faqat bitta kichik muammo bilan bog'liq - serverning javobi bilan siz tizimdagi hisobotlar sonini bilib olishingiz mumkin. Agar kirish imkoni bo'lmagan URL manzilidan hisobot olishga harakat qilganingizda (lekin hisobotning o'zi mavjud), server qaytib keladi RUXSAT BERILMADI, va mavjud bo'lmagan hisobotni olishga harakat qilganingizda, u qaytib keladi TOPILMADI. Vaqt o'tishi bilan tizimdagi hisobotlar sonining ko'payishini (haftada bir marta, oyda va hokazo) kuzatib, siz xizmatning ish yukini va ko'rsatilayotgan xizmatlar hajmini baholashingiz mumkin. Bu, albatta, bemorlar va shifokorlarning shaxsiy ma'lumotlarini buzmaydi, ammo bu kompaniyaning tijorat sirlarini buzishi mumkin.
Manba: www.habr.com