背景
如果勒索软件组织能精确掌握哪些医疗机构购买了包含赎金赔付条款的勒索攻击保险,这将成为每个勒索团伙的梦想。本文将揭示两个使这种场景成为可能的漏洞。
在深入技术细节前,需先说明在没有协调漏洞披露(CVD)政策下的道德黑客行为背景,以及对医疗机构赎金保险的思考。
医疗行业勒索威胁加剧
根据医疗行业CERT机构Z-CERT.nl的2023年度报告,勒索软件和金融欺诈是当前医疗领域最大威胁。报告指出IT服务商比医疗机构本身更常成为攻击目标。Z-CERT统计到欧洲医疗机构共发生29起勒索事件,其中3起位于荷兰。
涵盖赎金赔付的保险
勒索攻击的动机是金钱。荷兰医疗机构的收入受政府和保险机构严格监管,利润有限,这或可解释为何商业服务商更常成为目标。但当保险公司开始提供赎金赔付保障时,是否反而会催生攻击医疗机构的动机?
VvAA是荷兰医生和诊所最常用的保险咨询公司之一,声称服务超过13万医疗从业者。其官网明确标注"可能支付的赎金将获得赔偿"的保险条款。
缺失的协调漏洞披露政策
一年前HAwebsso.nl数据泄露事件导致1.5万名荷兰医生隐私数据泄露,而LHV机构迅速修复漏洞并协调披露的做法堪称典范。相比之下,VvAA在2023年3月漏洞发现时尚未发布负责任的漏洞披露政策,这给道德黑客测试其基础设施带来风险。值得庆幸的是,在本报告后他们已实施CVD政策。
道德黑客的法律边界
未经明确授权进行安全研究是否不道德?DIVD行为准则提出三个司法实践中常用的判断标准:
- 社会需求:为防止网络损害而非追求经济/政治利益
- 比例原则:研究应增强而非削弱系统完整性
- 辅助性原则:选择影响最小的方式
荷兰记者Daniel Verlaan黑客欧盟防长视频会议却未被起诉的案例,说明我们需要说服政界领袖支持而非起诉道德黑客。司法部近期对DIVD的认可是一大进步。
IDOR漏洞1:获取个人文档
本次攻击的终极目标是获取所有人的隐私保险政策文件。通过使用两个测试账户(攻击者和受害者),在Burp代理监控下发现:
- URL中的
/s/提示后端使用Salesforce系统 - 页面源码确认Salesforce作为后端
- 对象ID(如0011r00002IXXXXX)可直接构造访问链接
- 访问对象URL暴露原始视图,证明配置存在缺陷
关键发现:
- 文档概览页面使用
getMijnVvAADocs命令和RelatieNummer(客户ID)参数获取文件 - 将ID替换为受害者客户ID即可下载其所有文档(包括保险政策和发票)
- 勒索团伙可批量下载特定保险文件精准定位目标
28分钟内VvAA确认漏洞并承诺一小时内修复,后续邀请作者面谈并赠送礼物,同时承诺发布CVD政策。
IDOR漏洞2:未受保护的文档下载端点
一个月后复查时发现新漏洞:
- 服务订阅页面(Producten)存在文档下载功能
- URL格式:
https://0ada17bd-xxxx.div.vvaa.nl/ApiGateway/Api/Documents/GetBinary/123456/0 - 修改数字ID即可获取他人文档(最早可追溯到198年的保单)
- 漏洞暴露包含电子邮件(.eml文件)在内的机密信息
VvAA再次在24小时内响应,一周内部署补丁并完成日志审计。
结论
本文演示了如何获取医疗从业者的机密保险政策等敏感信息,使恶意攻击者可精准定位有赎金赔付保障的目标。
VvAA的日志审计确认作者是唯一发现该漏洞的研究者。尽管存在漏洞,但其快速响应、数日内修复、支持道德研究的态度值得肯定——透明度建立信任,他们最终发布CVD政策的行为展现了成熟企业的领导力。
时间线
- 2023-03-24 发现漏洞迹象并联系VvAA
- 2023-03-24 与CISO通话后发现IDOR漏洞1
- 2023-03-24 VvAA确认漏洞1并启动审计
- 2023-04-05 收到办公室会谈邀请
- 2023-05-04 发现IDOR漏洞2
- 2023-05-05 VvAA确认漏洞2
- 2023-05-11 与领导层会面并获得奖励
- 2024-03-06 告知漏洞披露计划
- 2024-03-21 发布完整报告