Vor ein paar Tagen schrieb ich über Habrir, wie es dem russischen medizinischen Onlinedienst DOC + gelungen ist, eine Datenbank mit detaillierten Zugriffsprotokollen öffentlich zugänglich zu machen, aus der Daten von Patienten und Servicemitarbeitern abgerufen werden konnten. Und hier ist ein neuer Vorfall, bei dem ein anderer russischer Dienst Patienten Online-Konsultationen mit Ärzten anbietet - „Doctor is near“ (www.drclinics.ru).
Ich werde sofort schreiben, dass die Sicherheitslücke aufgrund der Angemessenheit der Mitarbeiter von Doctor Near schnell (2 Stunden ab dem Zeitpunkt der nächtlichen Benachrichtigung!) Beseitigt wurde und höchstwahrscheinlich keine persönlichen und medizinischen Daten verloren gingen. Im Gegensatz zu dem Vorfall mit DOC +, bei dem ich sicher weiß, dass mindestens eine JSON-Datei mit Daten von 3,5 GB Größe in die „offene Welt“ gefallen ist, sieht die offizielle Position folgendermaßen aus: „ Eine kleine Datenmenge wurde vorübergehend öffentlich zugänglich gemacht. Dies kann nicht zu negativen Konsequenzen für Mitarbeiter und Benutzer des DOC + -Dienstes führen. "
Ein anonymer Abonnent kontaktierte mich als Eigentümer des Telegrammkanals " Information Leaks " und berichtete auf der Website www.drclinics.ru über eine potenzielle Sicherheitslücke.
Das Wesentliche an der Sicherheitsanfälligkeit war, dass Sie, wenn Sie die URL kennen und sich im System unter Ihrem Konto befinden, die Daten anderer Patienten anzeigen können.
Um ein neues Konto im Doctor Near-System zu registrieren, benötigen Sie lediglich eine Mobiltelefonnummer, an die Sie eine Bestätigungs-SMS erhalten, sodass niemand Probleme beim Zugriff auf Ihr persönliches Konto haben könnte.
Nachdem der Benutzer sein persönliches Konto eingegeben hatte, konnte er sofort die URL in der Adressleiste seines Browsers ändern, Berichte mit persönlichen Daten von Patienten und sogar medizinische Diagnosen anzeigen.
Ein erhebliches Problem bestand darin, dass der Dienst die End-to-End-Nummerierung von Berichten verwendet und bereits URLs aus diesen Nummern generiert:
https://[ ]/…/…/40261/…
Daher reichte es aus, die minimale akzeptable Anzahl (7911) und die maximale Anzahl (42926 - zum Zeitpunkt der Sicherheitsanfälligkeit) festzulegen, um die Gesamtzahl (35015) der Berichte im System zu berechnen und sie sogar (bei böswilliger Absicht) mit einem einfachen Skript herunterzuladen.
Zu den zur Anzeige verfügbaren Daten gehörten: Name des Arztes und des Patienten, Geburtsdatum des Arztes und des Patienten, Telefonnummern des Arztes und des Patienten, Geschlecht des Arztes und des Patienten, E-Mail-Adressen des Arztes und des Patienten, Spezialisierung des Arztes, Datum der Konsultation, Kosten der Konsultation und in einigen Fällen sogar Diagnose als Kommentar zum Bericht).
Diese Sicherheitsanfälligkeit ist im Wesentlichen der im Dezember 2017 auf dem Server der Mikrofinanzorganisation Zaimograd entdeckten Sicherheitsanfälligkeit sehr ähnlich. Dann könnte die Suche 36763 Verträge erhalten, die die vollständigen Passdaten der Kunden der Organisation enthalten.
Wie ich von Anfang an betonte, zeigten die Mitarbeiter von Doctor Near echte Professionalität und trotz der Tatsache, dass ich sie um 23:00 Uhr (Moskauer Zeit) über die Sicherheitslücke informiert hatte, war der Zugang zu meinem persönlichen Konto sofort für alle und um 1:00 Uhr (Moskauer Zeit) gesperrt. Msk) Diese Sicherheitsanfälligkeit wurde behoben.
Ich kann nicht anders, als die PR-Abteilung des gleichen DOC + (New Medicine LLC) erneut zu kicken. Mit der Feststellung, dass " eine unbedeutende Datenmenge vorübergehend gemeinfrei ist ", verlieren sie die Tatsache aus den Augen, dass uns die Daten der "objektiven Kontrolle" zur Verfügung stehen, nämlich die Shodan-Suchmaschine. Wie in den Kommentaren zu diesem Artikel korrekt angegeben, laut Shodan das Datum des ersten Commits des geöffneten ClickHouse-Servers unter der DOC + IP-Adresse: 02.15.2019 03:08:00, Datum des letzten Commits: 17.03.2019 09:52:00. Die Datenbankgröße beträgt ca. 40 GB.
Insgesamt gab es 15 Fixierungen:
15.02.2019 03:08:00 16.02.2019 07:29:00 24.02.2019 02:03:00 24.02.2019 02:50:00 25.02.2019 20:39:00 27.02.2019 07:37:00 02.03.2019 14:08:00 06.03.2019 22:30:00 08.03.2019 00:23:00 08.03.2019 14:07:00 09.03.2019 05:27:00 09.03.2019 22:08:00 13.03.2019 03:58:00 15.03.2019 08:45:00 17.03.2019 09:52:00
Aus der Aussage geht hervor, dass es vorübergehend etwas mehr als ein Monat ist und eine kleine Datenmenge etwa 40 Gigabyte beträgt. Nun, ich weiß nicht ...
Aber zurück zum "Doktor ist in der Nähe."
Im Moment wird meine berufliche Paranoia von nur einem verbleibenden kleinen Problem heimgesucht - durch die Antwort des Servers können Sie die Anzahl der Berichte im System herausfinden. Wenn Sie versuchen, einen Bericht über eine URL abzurufen , auf die Sie keinen Zugriff haben (der Bericht selbst ist jedoch vorhanden), gibt der Server ACCESS_DENIED zurück . Wenn Sie versuchen, einen Bericht abzurufen , der nicht vorhanden ist, wird NOT_FOUND zurückgegeben. Durch Überwachen der Zunahme der Anzahl der Berichte im System in der Dynamik (einmal pro Woche, Monat usw.) können Sie die Auslastung des Dienstes und das Volumen der bereitgestellten Dienste bewerten. Dies verstößt natürlich nicht gegen die persönlichen Daten von Patienten und Ärzten, kann jedoch eine Verletzung der Geschäftsgeheimnisse des Unternehmens darstellen.