就在几天前我 Habré 讲述了俄罗斯在线医疗服务 DOC+ 如何设法在公共领域留下一个包含详细访问日志的数据库,从中可以获得患者和服务员工的数据。 这是一个新事件,另一家为患者提供在线医生咨询的俄罗斯服务——“附近的医生”(www.drclinics.ru)。
我会立即写到,由于 Doctor is Near 工作人员的充分配合,该漏洞很快(从晚上收到通知起的 2 小时内!)被消除,并且很可能没有泄露个人和医疗数据。 与 DOC+ 事件不同,我确信至少有一个 3.5 GB 大小的包含数据的 json 文件最终进入了“开放世界”,官方立场如下:“少量数据暂时公开,不会对 DOC+ 服务的员工和用户造成负面后果。«。
和我一起,作为 Telegram 频道的所有者””,一位匿名订阅者联系并报告了网站 www.drclinics.ru 上的潜在漏洞。
该漏洞的本质是,知道 URL 并在您的帐户下进入系统,您就可以查看其他患者的数据。
要在Doctor Nearby系统中注册新帐户,您实际上只需要一个手机号码并发送确认短信,因此任何人在登录其个人帐户时都不会出现任何问题。
用户登录个人账户后,可以立即通过更改浏览器地址栏中的URL,查看包含患者个人数据甚至医疗诊断的报告。
一个重要的问题是该服务使用连续的报告编号,并且已经根据这些编号形成了 URL:
https://[адрес сайта]/…/…/40261/…
因此,设置允许的最小数量(7911)和最大允许数量(42926 - 漏洞发生时)就足以计算系统中的报告总数(35015),甚至(如果有恶意)下载所有这些都只需一个简单的脚本。
可供查看的数据包括:医生和患者的全名、医生和患者的出生日期、医生和患者的电话号码、医生和患者的性别、医生和患者的电子邮件地址、医生的专业、咨询日期、咨询费用,在某些情况下甚至诊断(作为报告的评论)。
该漏洞本质上与之前的漏洞非常相似 在小额信贷组织“Zaimograd”的服务器上。 然后,通过搜索,可以获得 36763 份合同,其中包含该组织客户的完整护照数据。
正如我从一开始就指出的那样,Doctor Nearby 员工表现出了真正的专业精神,尽管我在 23:00(莫斯科时间)向他们通报了该漏洞,但我的个人帐户的访问权限立即对所有人关闭,并且到了 1: 00(莫斯科时间)此漏洞已被修复。
我忍不住再次踢了同一个 DOC+(New Medicine LLC)的公关部门。 声明“少量数据暂时公开”,他们忽视了这样一个事实:我们拥有可供使用的“客观控制”数据,即 Shodan 搜索引擎。 正如该文章评论中正确指出的那样 - 根据 Shodan 的说法,DOC+ IP 地址上开放的 ClickHouse 服务器的首次固定日期:15.02.2019/03/08 00:17.03.2019:09,最后一次固定日期:52/ 00/40 XNUMX:XNUMX:XNUMX。 数据库大小约为XNUMX GB。
总共有 15 个注视点:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00从声明中可以看出 暂时 一个多月了,而且 少量数据 大约有40GB。 好吧,我不知道……
但让我们回到“医生就在附近”。
目前,我的职业偏执症只被一个剩下的小问题所困扰——通过服务器响应你可以找出系统中的报告数量。 当您尝试从不可访问的 URL 获取报告(但报告本身可用)时,服务器会返回 拒绝访问,当您尝试获取不存在的报告时,它会返回 未找到。 通过监控系统中报告数量随时间的增长情况(每周一次、每月一次等),您可以评估服务的工作负载以及提供的服务量。 当然,这并没有侵犯患者和医生的个人数据,但可能会侵犯公司的商业秘密。
来源: habr.com