背景

根据Z-Cert.nl年度报告，勒索软件攻击是医疗保健行业面临的最大威胁。该报告提到，与个体诊所或专业人士相比，医疗保健提供商的供应商更常成为攻击目标（第16页）。

原因可能是如果黑客攻击供应商，影响可能更大，因为他们可能同时为多个客户提供服务。

漏洞发现过程

侦察阶段：在哪里寻找漏洞？

该平台有一个门户网站，供医疗保健提供者更改其联系信息。

实际投诉未在任何门户网站中注册。如果不存储数据，就不会丢失数据。这是一个明智的做法，因为它减少了攻击面。

IDOR漏洞1：可访问其他用户的发票

当我们看到数字ID时，我们尝试将ID更改为更低或更高的数字。我们最终可能获得另一个用户的数据。

通过更改数字ID，我们能够访问其他用户的发票，这些文档包含完整的地址和银行账号等PII数据。

IDOR漏洞2：注册时暴露医疗PII

在寻找注册方式时，我发现无法重复使用先前注册的电子邮件创建新账户。它会给出错误。

但在Burp Proxy中记录的请求中发现了一个奇怪的现象：对https://portal.skge.nl/api/afas/nieuwe_aansluiting_zelfstandig的请求有以下响应：

如果有人使用先前注册的电子邮件地址，它会输出所有相关的PII数据，包括完整地址、电子邮件和电话。

同样的情况也发生在医疗执照ID（Bignummer）上，这是一个公开数据，任何人都可以通过政府网站轻松查找。

影响

经过身份验证的攻击者能够下载其他用户的发票。这些文档包含如完整地址和银行账号等PII数据。

未经身份验证的攻击者只要拥有医疗执照ID号（公开数据）或注册医疗保健提供者的电子邮件，就能够泄露PII数据（完整地址、电话和电子邮件）。

时间线

• 2024年1月7日 - 发现泄露发票和注册PII数据的IDOR漏洞
• 2024年1月8日 - SKGE确认漏洞并指示开发人员部署修复
• 2024年1月8日 - SKGE下线受影响的网络资产
• 2024年1月10日 - SKGE部署修复，我确认修复，SKGE完成审计日志（未发现漏洞滥用）
• 2024年1月18日 - SKGE发送250欧元礼品卡和感谢信

结论

SKGE反应非常迅速，在几小时内就联系并下线了网站的受影响部分。他们审计了漏洞滥用日志，确认我是唯一发现这些漏洞的人。

两天后，他们修补了漏洞，一切重新上线。最终他们支持了我的道德研究，试图让医疗供应商更加安全。