Zobaczył 245 000 skierowań innych ludzi na serwisie pacjent.gov.pl
Incydent, miejmy nadzieję, finalnie nie okaże się taki straszny na jaki wygląda i raczej na pewno nie będzie tak potężny jak opisywany przez kiedyś Wyciek danych pacjentów z wielu szpitali.
Z tego co ustalił odkrywca błędu, serwis pacjent.gov.pl listował wszystkie (?) skierowania tylko na koncie dziecka dla osoby zalogowanej jako rodzic, co ogranicza trochę liczbę osób, które mogły mieć dostęp do cudzych skierowań. Niestety, nie wiadomo, jak długo system pokazywał użytkownikom-rodzicom więcej niż powinien.
Zapytaliśmy wczoraj odkrywcę błędu, czy mógł podejrzeć zawartość treści innego skierowania, ale okazuje się, że KKK1337 tego nie sprawdził, bo tak się przeraził tym co zobaczył, że postanowił sprawę szybko nagłośnić — a nagłośnienie przyniosło spodziewany skutek, moduł skierowań został szybko został zdjęty.
Jeśli ktoś z Was ma dostęp do jakiegoś skierowania, dajcie znać w komentarzach jakie dane są na nim widoczne.
Powód incydentu?
Obstawiamy błąd w SQL, ale to pytanie zostało zadane Ministerstwu Zdrowia i kiedy będzie odpowiedź, zaktualizujemy ten artykuł.
Trzeba jednak pamiętać, że niezależnie od tego, że coś pojawia się jako wynik w wyszukiwarce skierowań, to niekoniecznie oznacza, że kliknięcie na skierowanie z pozycji użytkownika nieuprzywilejowanego pozwoli mu na zapoznanie się z pełnym rekordem (innymi słowy, to że ktoś zepsuł zapytanie SQL w wyszukiwarce, nie oznacza, że zabrakło ifa weryfikującego uprawnienia w funkcji wyświetlającej skierowanie). Niestety, nie dowiemy się z niezależnego źródła, co widać było po kliknięciu na nie swoje skierowanie.
Widzisz błąd? Zgłaszaj go!
Ta historia jest ciekawa także z kolejnego powodu. KKK1337 przyznał, że postąpił trochę zbyt pochopnie, ujawniając ten problem publicznie przed zgłoszeniem go w odpowiednie miejsce. Rozumiemy przerażenie, bo często różni ludzie, którzy natykają się na takie lub gorsze internetowe anomalie, problem od razu nagłaśniają w znanych im kanałach, np. w serwisach społecznościowych, czy właśnie na Wykopie.
Ale są lepsze miejsca… tylko — nie ma się co dziwić — ciężko jest je odkryć, zwłaszcza osobom nie siedzącym mocno w bezpieczeństwie. Zróbcie eksperyment. Wejdźcie na stronę główną pacjent.gov.pl, włączcie stoper i policzcie ile czasu i ile kliknięć zajmie Wam dojście do adresu csirt@csioz.gov.pl, na który zgłoszenie dotyczące problemów z bezpieczeństwem serwisu pacjent.gov.pl powinno się przesłać.
Danych tych nie znajdziemy w pliku security.txt, który jest proponowanym sposobem na ujednolicenie sposobu znajdowania danych kontaktowych dotyczących bezpieczeństwa.
Gdybyście kiedyś znaleźli się w sytuacji takiej jak KKK1337 i nie mogli znaleźć odpowiedniego kontaktu, piszcie na “sektorowy” CERT, albo dajcie nam znać z chęcią pomożemy, sięgając do prywatnego wizytownika.
0 komentarzy