На этой неделе стало известно, что компания Practice by Numbers, разработчик программного обеспечения для управления стоматологическими клиниками, используемого в тысячах офисов по всей территории США, устранила серьезную уязвимость безопасности. Эта уязвимость позволяла получить доступ к конфиденциальным медицинским записям пациентов через клиентский портал, входящий в комплект поставки их продукта. Программное обеспечение Practice by Numbers, как заявляет компания, используется более чем в 5000 стоматологических практиках по всей Америке, что подчеркивает потенциальный масштаб проблемы и важность своевременного устранения подобных недостатков.
Суть уязвимости заключалась в том, что любой авторизованный пользователь портала Practice by Numbers мог получить доступ к документам других пациентов, просто изменив порядковый номер документа в URL-адресе веб-страницы. Джозеф Р. Кокс, один из пациентов, обнаруживший эту ошибку, сообщил, что он смог получить доступ к личной информации, историям болезни, фотоидентификации и другим файлам других пациентов со своего собственного аккаунта. Хуже того, номера документов в веб-адресе, по всей видимости, были последовательно увеличивающимися, что делало процесс подбора и угадывания чужих медицинских файлов крайне простым и доступным для любого пользователя с логином на портале.
Кокс обнаружил ошибку, просматривая свои собственные стоматологические записи на портале, предоставленном его стоматологической клиникой. После обнаружения он предпринял попытки уведомить компанию о проблеме по электронной почте, но не получил ответа. Он столкнулся с серьезными трудностями, поскольку у Practice by Numbers не было явного канала для сообщения о проблемах безопасности. Адрес электронной почты компании на ее веб-сайте оказался нерабочим, сообщения возвращались как недоставленные. В итоге Кокс отправил сообщение одному из основателей компании в LinkedIn, но также не получил ответа после последующего электронного письма. Только после этого, в качестве крайней меры, он обратился в TechCrunch с просьбой помочь исправить уязвимость.
После того, как TechCrunch проинформировал Practice by Numbers об уязвимости 13 апреля, компания оперативно отреагировала. Она временно отключила свой клиентский портал для устранения бага и возобновила его работу 17 апреля. Крис Лау, соучредитель и технический директор Practice by Numbers, подтвердил, что уязвимость была успешно исправлена. Он также сообщил, что компания уведомляет менее 10 пациентов, чья информация могла быть раскрыта из-за ошибки, основываясь на логах сервера. По его словам, на данный момент не было обнаружено доказательств какой-либо предыдущей активности, связанной с этим багом, что позволяет предположить, что Джозеф Кокс, вероятно, был первым, кто ее обнаружил.
Данный инцидент выявил более широкую проблему, связанную с тем, что компании, особенно те, которые обрабатывают конфиденциальные данные, такие как медицинские записи, не всегда проводят адекватные меры по обеспечению безопасности до запуска своих продуктов. На вопрос TechCrunch о том, проходил ли клиентский портал Practice by Numbers аудит безопасности перед запуском, Крис Лау и Рохит Гарг, соучредитель и президент компании, отказались дать комментарии. Компании обычно проходят аудиты безопасности, чтобы гарантировать соответствие их продуктов стандартам кибербезопасности и отсутствие распространенных уязвимостей до того, как клиенты начнут ими пользоваться.
Инцидент с Practice by Numbers также подчеркивает тревожную тенденцию, когда обычные потребители обнаруживают недостатки безопасности в продуктах или на веб-сайтах компаний, но не имеют четких способов ответственно сообщить о них разработчикам. Похожие случаи наблюдались ранее: в апреле ритейлер Express устранил ошибку на своем веб-сайте после того, как пользователь обнаружил уязвимость, но не смог предупредить компанию. Аналогичный инцидент произошел с Home Depot в декабре, когда исследователь безопасности не смог донести информацию о критической уязвимости до компании.
Источники
Ответы (0)
Пока нет ответов в этой теме.
