कोरोनावायरस परीक्षणों के सार्वजनिक रूप से उपलब्ध परिणाम – अपने डेटा को सुरक्षित करने के लिए कैसे नहीं

By | |

टीएल;डीआर – जन्म तिथि या सामाजिक सुरक्षा संख्या डेटा तक पहुंच सुरक्षित करने के लिए एक अच्छा विचार नहीं है।

पहेली – नीचे दो चित्रों के बीच क्या अंतर है?

लेकिन शुरू से ही शुरू करते हैं। दुर्भाग्य से, जैसा कि अक्सर आईटी दुनिया में मामला है, सुविधा सुरक्षा के साथ हाथ में हाथ नहीं जाती है। मुझे लगता है कि इस बार भी ऐसा ही था। हालांकि, संवेदनशील आंकड़ों का एक सेट है जहां समझौते नहीं किए जाने चाहिए । इस तरह के डेटा में शामिल हैं, लेकिन हमारे स्वास्थ्य के बारे में जानकारी तक ही सीमित नहीं है ।

कैसे प्रयोगशाला परिणामों के लिए उपयोग प्रदान की जाती है के बारे में मेरे दोस्त Kacpra से एक संदेश से चिंतित, मैं और अधिक विस्तार में इस के लिए जिंमेदार समाधान की जांच करने का फैसला किया ।

जैसा कि आप ऊपर दिए गए ग्राफिक्स में देख सकते हैं – "सरलीकृत लॉगिन" की कार्यक्षमता के माध्यम से अपने परिणाम तक पहुंचने के लिए आपको दो जानकारी की आवश्यकता है:

  • ऑर्डर आईडी, जहां बाद के आदेश संख्या बढ़ रही हैं;
  • आदेश व्यक्ति की जन्म तिथि [day=X&month=X&year=X]

कुछ मान्यताओं के तहत, जन्म तिथि संयोजनों की संख्या जो ऑर्डर आईडी को सौंपी जा सकती है, केवल लगभग 19,000 संयोजन है। यह अनुमान लगाना मुश्किल नहीं है कि ऐसे सभी संयोजनों को उत्पन्न करना और यह जांचना कि क्या वे ऑर्डर नंबर से मेल खाते हैं, यह एक बड़ी समस्या नहीं है।

यह पता चला कि मेरी मान्यताएं सही थीं और कई सौ गणनाओं के बाद एक्सेस डेटा से मेल खाने में कामयाब रहीं:

गणना घुसपैठिए

यह संवेदनशील रोगी जानकारी के लिए अनुमति दी जैसे:

  • पहला नाम;
  • नाम;
  • पेसल;
  • जन्म तिथि;
  • निवास का पता;
  • परीक्षणों का परिणाम;
कोरोनावायरस परीक्षण के परिणाम
कोरोनावायरस परीक्षण के परिणाम

एक सफल गणना प्रयास का एक और उदाहरण:

गणना बर्प घुसपैठिए
कोरोनावायरस परीक्षण के परिणाम

जैसे ही मैंने अपनी संवेदनशीलता की पुष्टि की, मैंने मरम्मत सिफारिशों के साथ-साथ जिम्मेदार सॉफ्टवेयर को इस त्रुटि की सूचना दी:

ई-मेल एक सुरक्षा बग रिपोर्टिंग

क्या करें, कैसे जीना है?

इस प्रकार के हमलों के खिलाफ सबसे आम सुरक्षा उपायों में से एक कैप्चा को लागू करना है। ऑर्डर डेटा तक पहुंचने के कई (उदाहरण के लिए तीन) असफल प्रयासों के बाद, एप्लिकेशन के उपयोगकर्ता को प्रदर्शित कैप्चा कोड को फिर से लिखने के लिए कहा जाएगा। हालांकि, कृपया ध्यान दें कि इस तरह के तंत्र का कार्यान्वयन केवल (या जब तक) हमलावर की मंदी है, जो सबसे सरल मामलों में ओसीआर स्कैनर या समर्पित कैप्चा रीडिंग सेवाओं के साथ जन्म तिथि को आगे बढ़ाने में सक्षम होगा।

एक बेहतर और अनुशंसित सुरक्षा सुविधा के लिए एक पर्याप्त लंबे, यादृच्छिक पासवर्डहै कि ग्राहक के फोन नंबर पर आ जाएगा के माध्यम से आदेश के परिणामों का उपयोग करने के लिए है ।

सौभाग्य से, बग को Google से रिकैप्चा तंत्र को लागू करके काफी जल्दी ठीक किया गया था:

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu