Chỉ cách đây vài ngày tôi trên Habré về cách dịch vụ y tế trực tuyến DOC+ của Nga quản lý để để lại cơ sở dữ liệu có nhật ký truy cập chi tiết trong phạm vi công cộng, từ đó có thể lấy được dữ liệu của bệnh nhân và nhân viên dịch vụ. Và đây là một sự cố mới, với một dịch vụ khác của Nga cung cấp cho bệnh nhân tư vấn trực tuyến với các bác sĩ - “Bác sĩ ở gần” (www.drclinics.ru).
Tôi sẽ viết ngay rằng nhờ vào sự đầy đủ của nhân viên Doctor is Near, lỗ hổng này đã nhanh chóng được loại bỏ (2 giờ kể từ thời điểm thông báo vào ban đêm!) và rất có thể không có rò rỉ dữ liệu cá nhân và y tế. Không giống như sự cố DOC+, nơi tôi biết chắc chắn rằng ít nhất một tệp json có dữ liệu, kích thước 3.5 GB, đã xuất hiện ở “thế giới mở” và vị trí chính thức trông như thế này: “Một lượng nhỏ dữ liệu đã tạm thời được công khai, điều này không thể dẫn đến hậu quả tiêu cực cho nhân viên và người sử dụng dịch vụ DOC+.".
Với tôi, với tư cách là chủ sở hữu kênh Telegram "", một thuê bao ẩn danh đã liên hệ và báo cáo lỗ hổng tiềm ẩn trên trang web www.drclinics.ru.
Bản chất của lỗ hổng bảo mật là khi biết URL và nằm trong hệ thống thuộc tài khoản của bạn, bạn có thể xem dữ liệu của các bệnh nhân khác.
Để đăng ký tài khoản mới trong hệ thống Bác sĩ lân cận, bạn thực sự chỉ cần một số điện thoại di động để gửi SMS xác nhận, vì vậy không ai có thể gặp bất kỳ vấn đề gì khi đăng nhập vào tài khoản cá nhân của họ.
Sau khi người dùng đăng nhập vào tài khoản cá nhân của mình, anh ta có thể ngay lập tức bằng cách thay đổi URL trên thanh địa chỉ của trình duyệt, xem các báo cáo chứa dữ liệu cá nhân của bệnh nhân và thậm chí cả các chẩn đoán y tế.
Một vấn đề quan trọng là dịch vụ sử dụng cách đánh số báo cáo liên tục và đã tạo URL từ những con số này:
https://[адрес сайта]/…/…/40261/…
Do đó, chỉ cần đặt số lượng tối thiểu được phép (7911) và tối đa (42926 - tại thời điểm xảy ra lỗ hổng) là đủ để tính tổng số (35015) báo cáo trong hệ thống và thậm chí (nếu có mục đích xấu) tải xuống tất cả đều bằng một kịch bản đơn giản.
Trong số các dữ liệu có sẵn để xem bao gồm: tên đầy đủ của bác sĩ và bệnh nhân, ngày sinh của bác sĩ và bệnh nhân, số điện thoại của bác sĩ và bệnh nhân, giới tính của bác sĩ và bệnh nhân, địa chỉ email của bác sĩ và bệnh nhân, chuyên môn của bác sĩ. , ngày tư vấn, chi phí tư vấn và trong một số trường hợp thậm chí cả chẩn đoán (như một nhận xét cho báo cáo).
Lỗ hổng này về cơ bản rất giống với lỗ hổng đã được trên máy chủ của tổ chức tài chính vi mô “Zaimograd”. Sau đó, bằng cách tìm kiếm, có thể thu được 36763 hợp đồng chứa dữ liệu hộ chiếu đầy đủ của khách hàng của tổ chức.
Như tôi đã chỉ ra ngay từ đầu, các nhân viên của Doctor Near đã thể hiện sự chuyên nghiệp thực sự và mặc dù tôi đã thông báo cho họ về lỗ hổng này vào lúc 23:00 (giờ Moscow), mọi người ngay lập tức bị đóng quyền truy cập vào tài khoản cá nhân của tôi và vào lúc 1: 00 (giờ Moscow) lỗ hổng này đã được sửa.
Tôi không thể không đá một lần nữa bộ phận PR của cùng một DOC+ (New Medicine LLC). Tuyên bố "Một lượng nhỏ dữ liệu tạm thời được cung cấp công khai“, họ không biết rằng chúng tôi có sẵn dữ liệu “kiểm soát khách quan”, cụ thể là công cụ tìm kiếm Shodan. Như đã lưu ý chính xác trong các nhận xét cho bài viết đó - theo Shodan, ngày sửa lỗi đầu tiên của máy chủ ClickHouse mở trên địa chỉ IP DOC+: 15.02.2019/03/08 00:17.03.2019:09, ngày sửa lỗi cuối cùng: 52/ 00/40 XNUMX:XNUMX:XNUMX. Kích thước cơ sở dữ liệu là khoảng XNUMX GB.
Tổng cộng có 15 bản sửa lỗi:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00Từ tuyên bố có vẻ như tạm thời mới hơn một tháng thôi, nhưng lượng nhỏ dữ liệu đây là khoảng 40 gigabyte. Chà, tôi không biết nữa…
Nhưng hãy quay lại với “Bác sĩ ở gần đây”.
Hiện tại, nỗi hoang tưởng nghề nghiệp của tôi chỉ bị ám ảnh bởi một vấn đề nhỏ còn lại - qua phản hồi của máy chủ, bạn có thể tìm ra số lượng báo cáo trong hệ thống. Khi bạn cố gắng nhận báo cáo từ một URL không thể truy cập được (nhưng bản thân báo cáo đó vẫn có sẵn), máy chủ sẽ trả về ACCESS_DENIEDvà khi bạn cố gắng lấy một báo cáo không tồn tại, nó sẽ trả về KHÔNG TÌM THẤY. Bằng cách theo dõi sự gia tăng số lượng báo cáo trong hệ thống theo thời gian (mỗi tuần một lần, mỗi tháng, v.v.), bạn có thể đánh giá khối lượng công việc của dịch vụ và khối lượng dịch vụ được cung cấp. Tất nhiên, điều này không vi phạm dữ liệu cá nhân của bệnh nhân và bác sĩ nhưng có thể vi phạm bí mật thương mại của công ty.
Nguồn: www.habr.com