背景
根据Z-Cert.nl年度报告,勒索软件攻击是医疗保健行业面临的最大威胁。报告指出,医疗保健提供商的供应商比个体诊所或专业人员更常成为攻击目标(第16页)。原因可能是入侵供应商的影响更大,因为他们可能同时为多个客户提供服务。
漏洞披露政策缺失
SKGE.nl在报告时缺乏协调漏洞披露政策。虽然报告后SKGE发布了符合NCSC指南的CVD,但由于虚假报告过多,他们不得不暂时将其下线。
侦察阶段:寻找漏洞位置
该平台有一个供医疗保健提供商修改联系信息的门户网站。
实际投诉并未在任何门户网站中注册。不存储数据就不会丢失数据,这是减少攻击面的明智之举。
IDOR漏洞1:可访问其他用户的发票
通过观察发现订单ID为数字格式,尝试更改ID号码后成功访问了其他用户的发票数据。这是一个需要登录的IDOR漏洞,但由于注册无需身份验证,风险仍然存在。
IDOR漏洞2:注册时暴露医疗PII
在注册过程中发现,当使用已注册的电子邮件地址时,API端点https://portal.skge.nl/api/afas/nieuwe_aansluiting_zelfstandig会返回所有相关的PII数据,包括完整地址、电子邮件和电话。
同样的情况也发生在医疗执照ID(Bignummer)上,这是一个公开数据,任何人都可以通过政府网站查询。攻击者无需认证即可泄露医疗提供商的私人地址和电话号码。
结论
经过认证的攻击者能够下载其他用户的发票,这些文件包含完整地址和银行账号等PII数据。未经认证的攻击者只要拥有医疗执照ID或注册医疗提供商的电子邮件,就能泄露PII数据。
讨论
SKGE反应迅速,在几小时内就联系并下线了受影响的网站部分。他们审计了漏洞滥用日志,确认我是唯一发现这些漏洞的人。两天后他们修复了漏洞,所有服务重新上线。
时间线
- 2024年1月7日 - 发现泄露发票和注册PII数据的IDOR漏洞
- 2024年1月8日 - SKGE确认漏洞并指示开发人员部署修复
- 2024年1月8日 - SKGE下线受影响的网络资产
- 2024年1月10日 - SKGE部署修复,我确认修复完成
- 2024年1月18日 - SKGE发送250欧元礼品卡和感谢信
- 2024年1月20日 - 报告发布