就在幾天前我 Habré 講述了俄羅斯線上醫療服務 DOC+ 如何設法在公共領域留下一個包含詳細存取日誌的資料庫,從中可以獲得患者和服務員工的數據。 這是一個新事件,另一家為病人提供線上醫生諮詢的俄羅斯服務-「附近的醫生」(www.drclinics.ru)。
我會立即寫到,由於 Doctor is Near 工作人員的充分配合,該漏洞很快(從晚上收到通知起的 2 小時內!)被消除,並且很可能沒有洩露個人和醫療資料。 與 DOC+ 事件不同,我確信至少有一個 3.5 GB 大小的包含數據的 json 文件最終進入了“開放世界”,官方立場如下:“少量資料暫時公開,不會對 DOC+ 服務的員工和使用者造成負面後果。“。
和我一起,作為 Telegram 頻道的所有者””,一位匿名訂閱者聯繫並報告了網站 www.drclinics.ru 上的潛在漏洞。
該漏洞的本質是,知道 URL 並在您的帳戶下進入系統,您就可以查看其他患者的資料。
要在附近醫生系統中註冊新帳戶,您實際上只需要一個手機號碼並發送確認短信,因此任何人在登錄其個人帳戶時都不會出現任何問題。
使用者登入個人帳號後,可以立即透過變更瀏覽器網址列中的URL,查看包含病患個人資料甚至醫療診斷的報告。
一個重要的問題是該服務使用連續的報告編號,並且已經根據這些編號形成了 URL:
https://[адрес сайта]/…/…/40261/…
因此,設定允許的最小數量(7911)和最大允許數量(42926 - 漏洞發生時)就足以計算系統中的報告總數(35015),甚至(如果有惡意)下載所有這些都只需一個簡單的腳本。
可供查看的數據包括:醫生和患者的全名、醫生和患者的出生日期、醫生和患者的電話號碼、醫生和患者的性別、醫生和患者的電子郵件地址、醫生的專業、諮詢日期、諮詢費用,在某些情況下甚至診斷(作為報告的評論)。
該漏洞本質上與先前的漏洞非常相似 在小額信貸組織「Zaimograd」的伺服器上。 然後,透過搜索,可以獲得包含該組織客戶完整護照資料的 36763 份合約。
正如我從一開始就指出的那樣,Doctor Nearby 員工表現出了真正的專業精神,儘管我在23:00(莫斯科時間)向他們通報了該漏洞,但我的個人帳戶的訪問權限立即對所有人關閉,並且到了1: 00(莫斯科時間)此漏洞已被修復。
我忍不住再次踢了同一個 DOC+(New Medicine LLC)的公關部門。 聲明“少量數據暫時公開”,他們忽略了這樣一個事實:我們擁有可供使用的“客觀控制”數據,即 Shodan 搜尋引擎。 正如該文章評論中正確指出的那樣 - 根據 Shodan 的說法,DOC+ IP 位址上開放的 ClickHouse 伺服器的首次固定日期:15.02.2019/03/08 00:17.03.2019:09,最後一次固定日期:52/ 00/40 XNUMX :XNUMX:XNUMX。 資料庫大小約XNUMX GB。
總共有 15 個注視點:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00從聲明中可以看出 暫時 一個多月了,但是 少量數據 這大約是 40 GB。 好吧,我不知道…
但讓我們回到「醫生就在附近」。
目前,我的職業偏執症只被一個剩下的小問題所困擾——透過伺服器回應你可以找出系統中的報告數量。 當您嘗試從無法存取的 URL 取得報告(但報告本身可用)時,伺服器會傳回 拒絕訪問,當您嘗試獲取不存在的報告時,它會返回 未找到。 透過監控系統中報告數量隨時間的增長(每週一次、每月一次等),您可以評估服務的工作量和提供的服務量。 當然,這並沒有侵犯患者和醫生的個人數據,但可能會侵犯公司的商業機密。
來源: www.habr.com