ほんの数日前、ロシアの医療オンラインサービスDOC +が詳細なアクセスログを含むデータベースをパブリックドメインに残す方法についてHabrirで書きました。そこから患者やサービスの従業員からデータを取得できました。 そして、新たな事件があります。ロシアの別のサービスが、患者に医師とのオンライン相談を提供します-「医師が近くにいます」(www.drclinics.ru)。
Doctor Nearの従業員の妥当性により、脆弱性はすぐに(夜の通知の瞬間から2時間!)除去され、個人および医療データの漏洩はほとんどなかったとすぐに書きます。 3.5 GBのデータを含む少なくとも1つのjsonファイルが「オープンワールド」にあることが確実にわかっているDOC +のインシデントとは異なり、公式の位置は次のようになります。 DOC +サービスの従業員とユーザーに悪影響をもたらすことはありません。 」
匿名のサブスクライバーがTelegramチャンネル「 Information Leaks 」の所有者として私に連絡し、サイトwww.drclinics.ruに潜在的な脆弱性を報告しました。
この脆弱性の本質は、URLを知っていて、アカウントの下のシステムにいることで、他の患者のデータを表示できることでした。
実際、Doctor Nearシステムに新しいアカウントを登録するには、確認SMSを受信する携帯電話番号のみが必要であるため、個人アカウントへのアクセスに問題はありません。
ユーザーが自分の個人アカウントを入力した後、すぐにブラウザーのアドレスバーのURLを変更し、患者の個人データや医療診断さえも含むレポートを表示できます。
重要な問題は、サービスがレポートのエンドツーエンドの番号付けを使用し、これらの番号からURLをすでに生成していることです。
https://[ ]/…/…/40261/…
したがって、システム内のレポートの総数(35015)を計算し、さらに(悪意がある場合)簡単なスクリプトですべてをダウンロードするには、最小許容数(7911)と最大(42926-脆弱性の時点)を設定するだけで十分でした。
表示可能なデータには、医師と患者の名前、医師と患者の生年月日、医師と患者の電話番号、医師と患者の性別、医師と患者のメールアドレス、医師の専門化、相談日、相談の費用、場合によっては診断さえあります(レポートへのコメントとして)。
この脆弱性は、マイクロファイナンス組織Zaimogradのサーバーで2017年12月に発見された脆弱性と基本的に非常に類似しています。 次に、検索により、組織の顧客の完全なパスポートデータを含む36763契約を取得できます。
最初から指摘したように、Doctor Nearの従業員は真のプロ意識を示し、23:00(モスクワ時間)に脆弱性を通知したにもかかわらず、個人アカウントへのアクセスはすぐに全員に閉鎖され、1:00( Msk)この脆弱性は修正されました。
私は、同じDOC +(New Medicine LLC)のPR部門を再び蹴りましょう。 「 わずかな量のデータが一時的にパブリックドメインにあることが判明した 」と宣言すると、 「客観的制御」、つまりShodan検索エンジンのデータを自由に使用できるという事実を見失います。 Shodanによると、その記事へのコメントで正しく指摘されているように、DOC + IPアドレスで開いているClickHouseサーバーの最初のコミットの日付:02.15.2019 03:08:00、最後のコミットの日付:03/17/2019 09:52:00。 データベースのサイズは約40 GBです。
そして、合計15の固定がありました。
15.02.2019 03:08:00 16.02.2019 07:29:00 24.02.2019 02:03:00 24.02.2019 02:50:00 25.02.2019 20:39:00 27.02.2019 07:37:00 02.03.2019 14:08:00 06.03.2019 22:30:00 08.03.2019 00:23:00 08.03.2019 14:07:00 09.03.2019 05:27:00 09.03.2019 22:08:00 13.03.2019 03:58:00 15.03.2019 08:45:00 17.03.2019 09:52:00
この声明から、 一時的に1か月強であり、 少量のデータは約40ギガバイトであることが判明しています。 よくわかりませんが...
しかし、「医師は近くにいます」に戻ります。
現時点では、私の専門的な妄想は、たった1つの小さな問題に悩まされています。サーバーの応答によって、システム内のレポートの数を確認できます。 アクセスできないURLでレポートを取得しようとすると(ただし、レポート自体は存在します)、サーバーはACCESS_DENIEDを返し、存在しないレポートを取得しようとすると、 NOT_FOUNDが返されます。 一定期間(1週間に1回、1か月など)のシステム内のレポート数の増加を監視することにより、サービスの負荷と提供されるサービスの量を評価できます。 もちろん、これは患者や医師の個人データに違反するものではありませんが、企業の企業秘密に違反する可能性があります。