医疗门户API配置错误导致医护人员个人信息泄露

背景

根据Z-Cert.nl年度报告，勒索软件攻击是医疗保健行业面临的最大威胁。报告指出，相比个体诊所或专业人员，医疗保健供应商更常成为攻击目标（第16页）。原因可能是攻击供应商的影响更大，因为他们可能同时为多个客户提供服务。

去年，为老年人提供警报系统的供应商Tunstall成为勒索软件攻击的受害者。但那些托管医疗保健提供者敏感数据（如投诉官员和争议解决机构）的供应商呢？如果他们存在泄露数据的漏洞怎么办？

如果我们能找出谁在他们那里注册，我们就可以对这些医疗保健提供者进行鱼叉式网络钓鱼：“您收到了投诉，请立即输入密码”。

今天我们将调查我用作医疗工作投诉和争议委员会的机构：SKGE.nl

一年多前，我们讨论了HAwebsso.nl的数据泄露事件，导致超过1.5万名荷兰医生的私人详细信息（包括电子邮件和哈希密码）泄露。这是一个有趣的发现，因为它揭示了一个存在至少3年（根据Archive.org日志可能甚至5年）的漏洞。

LHV迅速缓解了该漏洞并协调了披露，这是协调漏洞披露在医疗保健领域应用的绝佳范例。然而，今天的供应商SKGE.nl在报告时没有这样的协调漏洞披露政策。

好消息是，在报告后SKGE发布了符合NCSC指南的CVD。但不幸的是，虚假报告的数量太多，他们无法保持在线。在撰写本文时（2024年3月17日），他们正在寻找解决方案（Z-Cert可能能够在此提供帮助）。

该平台有一个供医疗保健提供者更改联系信息的门户。

实际投诉未在任何门户中注册。如果不存储，就不会丢失。这是一个聪明的举动，因为它减少了攻击面。

让我们看看是否能访问其他提供者的数据。一个好的起点总是查看可以下载发票的位置。

如我们在屏幕底部所见，dossiernummer（订单ID）是数字的。

每当我们看到数字ID时，我们尝试将ID更改为更低或更高的数字。我们最终可能会得到另一个用户的数据。让我们试试！

我们将数字更改为我们的朋友Bart的ID。我们获得了他的许可来IDOR他的发票。

Bart的发票可以从我的账户访问。

砰！我们有一个IDOR漏洞，泄露了所有医疗保健提供者的发票。影响有点有限，因为它需要登录，但每个人都能够注册（没有进行身份检查）。

此外，我没有测试其他ID，但一个好问题可能是是否只有发票可以通过此端点访问（而不是其他上传的文件，例如关于投诉的文件）。我没有测试，所以我不知道，必须相信供应商的调查。

是时候报告了！

在寻找注册方式时，我发现无法重复使用先前注册的电子邮件来创建新账户。它给出了错误。

但是我在Burp Proxy中记录的请求中发现了一些奇怪的东西；对https://portal.skge.nl/api/afas/nieuwe_aansluiting_zelfstandig的请求有以下响应：

“Message”:“match op e-mailadres” - 包括我所有的PII

发生的事情是，如果有人使用先前注册的电子邮件地址，它会吐出所有相关的PII数据。完整地址、电子邮件和电话。嗯。这不应该是这样的。

“Message”:“match op big” - 包括我朋友的所有PII

同样的情况也发生在医疗执照ID（Bignummer）上，这是一个公共数据，您可以使用我们政府的网站https://zoeken.bigregister.nl/zoeken/kenmerken轻松查找。

任何人都可以查找我的BIG号码。

因此，如果您对医疗保健提供者的（通常是私人的）地址和电话号码感兴趣，这是一种泄露详细信息的简单方法，无需身份验证。

是时候报告了！

经过身份验证的攻击者能够下载其他用户的发票。这些文件包含PII数据，如完整地址和银行账号。未经身份验证的攻击者能够在拥有医疗执照ID号（公共数据）或注册医疗保健提供者的电子邮件时泄露PII数据（完整地址、电话和电子邮件）。

SKGE反应非常迅速，在几个小时内就联系并下线了网站的受影响部分。这是一个关于应该如何响应的重要范例！

他们审计了他们的日志以查找漏洞滥用，并可以确认我是唯一发现这些漏洞的人。

请记住，每个人都会引入漏洞；重要的是您处理它们的方式。透明就是信任。作为客户，我完全信任他们，他们向我确认我的数据在他们手中是安全的。

两天后，他们修补了漏洞，一切重新上线。

最终，他们支持我的伦理研究；努力使医疗保健供应商更安全。多亏了他们，我能够分享这个故事，以便我们都能从中学习。这是一个强大领导力的好例子。

这个行业的其他公司呢，他们也有这种透明度水平吗？如果没有，他们需要什么才能达到这种成熟度水平？