Медицинская информация тысяч израильтян оказалась незащищенной
Консультант в сфере безопасности данных поразился, когда получил результаты медицинской проверки в одном из институтов диагностической визуализации: ссылка, которую ему прислали, привела на платформу, где чувствительная информация и личные данные пациентов оказались не защищены.
Израильские институты визуализации, куда медучреждения направляют пациентов на компьютерную томографию, рентген и другие проверки, нанимают IT-компании, которые предоставляют им платформу для хранения информации и ее передачи пациентам.
Vision-ERC — одна из таких компаний, предоставляющая услуги различным израильским институтам визуализации. При направлении пациента в одно из учреждений, которые с ней работают, человек получает ссылку на интерфейс, где хранятся рентгенограммы, дополнительные снимки, а также медицинские заключения, в которых отображается полная информация о клиенте.
Специалист в области защиты данных Ори Бина получил результат своего обследования через систему, которая не шифровала данные, а кодировала с использованием Base64. Это просто формат, который позволяет представить текстовые и цифровые данные в виде определенных символов. И так как это не шифрование, любой, кто знаком с этим форматом, мог спокойно «раскодировать» данные и увидеть их в исходном виде. Ори заметил это, перевел код Base64 и увидел не только свои данные, но и понял, что, меняя небольшую часть кода, можно получить доступ к информации других клиентов.
- Читайте также:
- Более 300 тысяч обращений поступило в центр экстренной психологической помощи с начала войны
- В каких группах населения Израиля больше всего курильщиков?
- В Израиле растет количество людей с крайней степенью ожирения
Почему это проблема? В медицинской системе сохранены данные о здоровье тысяч людей, и из-за того, что вместо шифрования используется простое кодирование, эта информация доступна всем, кто знает пару технических трюков. Когда Ори заменил часть кода и снова закодировал данные в Base64, он получил доступ к информации другого пациента. Это не просто уязвимость — это огромная проблема для 26 000 человек, чьи данные оказались под угрозой.
Сайт имел и другие недостатки безопасности: все медицинские диагнозы хранились в папке под названием comprobantes — «документы» на испанском языке (похоже, это родной язык человека, создавшего сайт) — и они также были последовательно пронумерованы. Этот факт позволил скачать сотни документов, причем при полном попустительстве защиты сайта.
Защита не просыпалась ни при входе якобы из чужой страны (через VPN), ни при множестве заходов с одного IP. Сайт также содержал открытый интерфейс входа в базу данных и данные сервера, позволял получить различные документы по мере их загрузки в систему в режиме реального времени.
Подобная прореха в системе безопасности — находка для мошенников. Они могут позвонить от имени страховой компании и сообщить клиенту о том, что ему полагается страховая выплата — и, уточнив, его платежные данные, снять оттуда деньги. Опытный злоумышленник может использовать эту информацию для фишинговой атаки, чтобы получить номер кредитной карты или банковского счета.
В век искусственного интеллекта злоумышленнику, который загружает десятки тысяч доступных документов, даже не обязательно тратить время на то, чтобы просматривать их самому — он может просто попросить алгоритм найти определенные случаи, которые позволят ему шантажировать пациентов.
После запроса The Marker к компании Vision-ERC ее сайт временно «закрылся» на «технические работы».
Vision-ERC заявила: «Компания придает первостепенное значение вопросу информационной безопасности, и любая проблема решается немедленно и бескомпромиссно внешней компанией по информационной безопасности. Веб-сайт компании хорошо защищен и часто тестируется. Если будет обнаружен аспект, требующий улучшения, он будет улучшен без промедления. Услуга срочного кодирования, которая была предоставлена институтам визуализации, оказалась эффективной и полезной, особенно во время войны, и предоставила медицинскую помощь тем, кто был направлен в институты визуализации, в том числе людям с ограниченной подвижностью. И мы этим гордимся. По поводу запроса: сайт был сразу заблокирован. Проведена комплексная проверка на предмет каких-либо технических неполадок, уровень безопасности был повышен. При этом утечки или раскрытия информации не произошло».
Ран Бар-Зик, The Marker; «Детали», Е.М. Фотоиллюстрация: Depositphotos.com ∇
Будьте всегда в курсе главных событий:
Подписывайтесь на ТГ-канал "Детали: Новости Израиля"