منذ يومين فقط كتبت على Habrir حول كيف تمكنت الخدمة الطبية الروسية عبر الإنترنت DOC + من ترك قاعدة بيانات في المجال العام تحتوي على سجلات وصول مفصلة ، والتي كان من الممكن الحصول عليها من المرضى وموظفي الخدمة. وهنا حادثة جديدة ، مع خدمة روسية أخرى تقدم للمرضى استشارات عبر الإنترنت مع الأطباء - "طبيب قريب" (www.drclinics.ru).
سأكتب على الفور أنه بسبب كفاية موظفي Doctor Near ، كانت الثغرة سريعة (ساعتان من لحظة الإخطار في الليل!) تم القضاء عليها وعلى الأرجح لم يكن هناك أي تسرب للبيانات الشخصية والطبية. على النقيض من الحادث الذي وقع مع DOC + ، حيث أعرف على وجه اليقين أن ملف json واحد على الأقل يحتوي على بيانات بحجم 3.5 جيجابايت يقع في "العالم المفتوح" ، في حين أن الموقف الرسمي يبدو كما يلي: " تم إتاحة عدد صغير من البيانات مؤقتًا للجمهور ، التي لا يمكن أن تؤدي إلى عواقب سلبية على موظفي ومستخدمي خدمة DOC +. ".
اتصل بي مشترك مجهول كمالك لقناة Telegram " تسرب المعلومات " وأبلغ عن ثغرة أمنية محتملة على الموقع www.drclinics.ru.
كان جوهر مشكلة عدم الحصانة هو أنه ، بمعرفة عنوان URL ووجودك في النظام تحت حسابك ، يمكنك عرض بيانات المرضى الآخرين.
لتسجيل حساب جديد في نظام Doctor Near ، في الواقع ، فأنت تحتاج فقط إلى رقم هاتف محمول تتلقى رسالة نصية قصيرة للتأكيد عليه ، لذلك لا يمكن أن يواجه أحد مشاكل في الوصول إلى حسابك الشخصي.
بعد أن يدخل المستخدم حسابه الشخصي ، يمكنه على الفور ، تغيير عنوان URL في شريط العنوان في متصفحه ، وعرض التقارير التي تحتوي على بيانات شخصية للمرضى وحتى التشخيصات الطبية.
كانت هناك مشكلة كبيرة تتمثل في أن الخدمة تستخدم ترقيمًا نهائيًا للتقارير وتقوم بالفعل بإنشاء عناوين URL من هذه الأرقام:
https://[ ]/…/…/40261/…
لذلك ، كان يكفي تعيين الحد الأدنى المقبول للرقم (7911) والحد الأقصى (42926 - في وقت الثغرة الأمنية) من أجل حساب العدد الإجمالي (35015) للتقارير في النظام وحتى (إذا كانت هناك نية ضارة) لتنزيلها جميعًا باستخدام برنامج نصي بسيط.
من بين البيانات المتاحة للعرض: اسم الطبيب والمريض ، وتواريخ ميلاد الطبيب والمريض ، وأرقام هواتف الطبيب والمريض ، ونوع الطبيب والمريض ، وعناوين البريد الإلكتروني للطبيب والمريض ، وتخصص الطبيب ، وتاريخ الاستشارة ، وتكلفة الاستشارة ، وحتى التشخيص في بعض الحالات كتعليق على التقرير).
تشبه مشكلة عدم الحصانة هذه إلى حد كبير تلك التي تم اكتشافها في ديسمبر 2017 على خادم مؤسسة التمويل الأصغر Zaimograd. ثم يمكن أن يحصل البحث على 36763 عقدًا تحتوي على بيانات جواز السفر الكاملة لعملاء المؤسسة.
كما أشرت من البداية ، أظهر موظفو Doctor Near احترافًا حقيقيًا وعلى الرغم من أنني أبلغتهم بالضعف في الساعة 23:00 (بتوقيت موسكو) ، تم إغلاق الوصول إلى حسابي الشخصي على الفور ، وبحلول الساعة 1:00 ( مسك) تم إصلاح هذه الثغرة الأمنية.
لا يسعني إلا أن أعود مرة أخرى بقسم العلاقات العامة في نفس DOC + (New Medicine LLC). بإعلان أن " كمية ضئيلة من البيانات قد تحولت مؤقتًا إلى نطاق عام " ، فإنها تغفل عن حقيقة أننا تحت تصرفنا بيانات "التحكم الموضوعي" ، وهي محرك بحث Shodan. كما تمت الإشارة بشكل صحيح في التعليقات على هذه المقالة ، وفقًا لـ Shodan ، تاريخ الالتزام الأول لخادم ClickHouse المفتوح على عنوان IP DOC +: 02.15.2019 03:08:00 ، تاريخ آخر التزام: 03/17/2019 09:52:00. حجم قاعدة البيانات حوالي 40 جيجابايت.
وكان هناك 15 التثبيت في المجموع:
15.02.2019 03:08:00 16.02.2019 07:29:00 24.02.2019 02:03:00 24.02.2019 02:50:00 25.02.2019 20:39:00 27.02.2019 07:37:00 02.03.2019 14:08:00 06.03.2019 22:30:00 08.03.2019 00:23:00 08.03.2019 14:07:00 09.03.2019 05:27:00 09.03.2019 22:08:00 13.03.2019 03:58:00 15.03.2019 08:45:00 17.03.2019 09:52:00
من البيان ، اتضح أنه مؤقتًا يزيد قليلاً عن شهر ، وأن كمية صغيرة من البيانات تبلغ حوالي 40 غيغا بايت. حسنًا ، لا أعرف ...
لكن العودة إلى "الطبيب قريب".
في الوقت الحالي ، يطارد جنون العظمة الخاص بي بمشكلة بسيطة واحدة متبقية - من خلال استجابة الخادم ، يمكنك معرفة عدد التقارير في النظام. عندما تحاول الحصول على تقرير عن طريق عنوان URL لا يمكنك الوصول إليه (ولكن التقرير نفسه موجود) ، يُرجع الخادم ACCESS_DENIED ، وعندما تحاول الحصول على تقرير غير موجود ، يتم إرجاع NOT_FOUND . من خلال مراقبة الزيادة في عدد التقارير في النظام مع مرور الوقت (مرة واحدة في الأسبوع ، في الشهر ، وما إلى ذلك) ، يمكنك تقييم عبء الخدمة وحجم الخدمات المقدمة. هذا بالطبع لا ينتهك البيانات الشخصية للمرضى والأطباء ، ولكنه يمكن أن يشكل انتهاكًا للأسرار التجارية للشركة.