Крупная уязвимость в ПО для стоматологий раскрыла данные тысяч пациентов
Компания Practice by Numbers, разработчик программного обеспечения для управления данными пациентов, используемого в тысячах стоматологических клиник, устранила серьезную уязвимость. Она позволяла несанкционированный доступ к конфиденциальным медицинским картам пациентов через портал, входящий в комплект поставки ПО, как стало известно TechCrunch.
Обнаружение уязвимости
Уязвимость была обнаружена пациентом Джозефом Р. Коксом. Он столкнулся с проблемой при просмотре собственных стоматологических записей на портале, предложенном его лечащим врачом. Этот портал является частью системы управления стоматологическим кабинетом от Practice by Numbers, чьи продукты, по заявлениям компании, используются более чем в 5 тысячах стоматологических практик в США.
По словам Кокса, обнаруженная ошибка позволяла любому пользователю портала, где хранятся медицинские документы и истории болезней пациентов, получать доступ к файлам других людей. Была продемонстрирована возможность доступа к чужим документам из собственного аккаунта, включая личную информацию, истории болезни, фотографии удостоверений личности и другие файлы. Это также означало, что собственные записи Кокса были так же уязвимы для других пациентов.
Как выяснилось, уязвимость оказалась на удивление простой в эксплуатации для любого пользователя, имеющего учетные данные для входа на пациентский портал Practice by Numbers. По словам Кокса, достаточно было изменить номер документа в веб-адресе при загрузке одного из своих файлов, чтобы получить доступ к документам других пациентов. Более того, номера документов в веб-адресе, по всей видимости, были последовательными, что теоретически позволяло легко подбирать номера медицинских файлов других людей.
Реакция компании и исправление
Кокс предпринял попытки уведомить компанию об обнаруженной проблеме по электронной почте, но ответа не получил. В итоге он обратился в TechCrunch в качестве последней инстанции, чтобы побудить компанию исправить ошибку. Обозреватель сообщил TechCrunch о сложностях с оповещением Practice by Numbers, так как компания не предлагала очевидного канала для сообщения о проблемах безопасности. Указанный на веб-сайте компании адрес электронной почты оказался нерабочим; письма возвращались как недоставленные. Вместо этого Кокс отправил сообщение одному из основателей компании в LinkedIn, но также не получил ответа после последующего электронного письма.
Учитывая, что уязвимость активно ставила под угрозу данные пациентов, редакция TechCrunch оповестила Practice by Numbers об инциденте 13 апреля. Компания временно отключила свой пациентский портал для устранения ошибки и вернула его в онлайн 17 апреля. Соучредитель и технический директор Practice by Numbers, Крис Лау, сообщил TechCrunch, что компания устранила уязвимость и уведомила менее 10 пациентов о том, что их информация могла быть раскрыта из-за ошибки, ссылаясь на данные журналов своих серверов. Компания заявила о сотрудничестве с затронутыми стоматологическими клиниками для оповещения пострадавших пациентов. Лау отметил, что компания не обнаружила признаков предыдущей эксплуатации уязвимости, что позволяет предположить: Кокс, вероятно, стал первым, кто ее выявил. Джозеф Кокс подтвердил, что уязвимость была устранена.
Важность аудитов безопасности
Этот инцидент, который на данный момент устранен, подчеркивает актуальную тенденцию: обычные пользователи обнаруживают уязвимости в продуктах или на сайтах компаний, но не имеют четкого способа сообщить об этом разработчикам. Ранее в апреле ритейлер модной одежды Express устранил ошибку на своем веб-сайте, которая позволяла любому получить доступ к деталям заказов и личной информации других клиентов, после того как пользователь выявил ошибку, но не нашел способа оповестить компанию. Аналогичный инцидент произошел с Home Depot в декабре: исследователь безопасности пытался в частном порядке уведомить компанию об упущении в безопасности, которое раскрывало доступ к ее внутренним системам почти год, но его сообщения игнорировались, пока TechCrunch не связался с компанией.
На запрос TechCrunch ни Лау, ни соучредитель и президент Practice by Numbers Рохит Гарг не ответили, проходил ли пациентский портал компании аудит безопасности перед запуском. Как правило, компании проводят аудиты безопасности для подтверждения соответствия продуктов стандартам кибербезопасности и отсутствия распространенных уязвимостей до того, как клиенты начнут их использовать. Хотя полностью бездефектное программное обеспечение недостижимо, компании, работающие с конфиденциальной информацией, такой как медицинские данные, обычно заказывают сторонние проверки своего кода для выявления крупных уязвимостей.
На вопрос о планах Practice by Numbers обновить веб-сайт для упрощения оповещения об уязвимостях (например, через программу раскрытия информации об уязвимостях), Гарг заявил, что компания планирует добавить такую возможность на свой сайт, но не назвал конкретных сроков.
