Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

pacjent.gov.pl – dostępne bez autoryzacji 250 000 skierowań na badania i do szpitala

13 lipca 2020, 21:53 | W biegu | komentarze 3

Tak przynajmniej relacjonuje użytkownik Wykopu, który dość niespodziewanie uzyskał taki efekt:

skierowania

Jak widać, na liście mamy aż ~250 000 „znalezionych skierowań”. Czy były też dostępne bardziej szczegółowe dane – po kliknięciu w „szczegóły”? Wg znalazcy problemu – tak. Pisze on bowiem:

dało się ale teraz wyświetla mi się że nie ma żadnych skierowań

I rzeczywiście, obecnie pod zakładką skierowania, mamy taki komunikat:

Co mogło (może?) być istotą problemu?

  • „Szybki patch”, który wprowadził nową podatność (np. „drobna literówka w SQLu”)
  • Problemy z cache (przy tak dużych systemach zazwyczaj konieczne jest korzystanie z tego typu mechanizmów)
  • Może po prostu problem autoryzacyjny (tj. z uprawnieniami), którego nikt nie „zauważył od początku”

My zastanawiamy się czy system przeszedł jakieś gruntowne testy bezpieczeństwa – wiecie coś może na ten temat? :-)

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. A.

    Absolutnie nic.
    Na podstawie tego, co jest wysyłane do mojej przeciętnej przeglądarki, CMS moze być Drupal, a wiec PHP, oraz na przedzie jako waf może być skrzynka f jak falkon i perfumy numer 5… (oby w v. bez RCE).
    Poza tym, cóż, systemy „żyją”, czyli podlegają zmianom. Normalne przy zapewne sporym przerobie, mimo iż teoretycznie wakacje.

    Nie, nie pracuje i nawet nie jestem „klientem” tudzież pacjentem.
    I tak, powinniście wysłać „im” ofertę…

    Odpowiedz
  2. DziwnoscTestu

    Gadanie o typowym ludzkim będzie w postaci „literówki” i na końcu zadawanie pytania o gruntowne testy bezpieczeństwa jest nie na miejscu, bo by trzeba je robić co dnia po każdym patchu. Fakt, wyślijcie im swoją ofertę, eh.

    Odpowiedz
    • No po każdym patchu to idealnie, ale warto zacząć od jakiś jednorazowych testów :) Czy np. raz na rok robionych różnymi ekipami (aby nie było sytuacji, że cały czas ta sama ekipa nie zauważa tych samych błędów)

      Odpowiedz

Odpowiedz