VvAA平台两个IDOR漏洞导致13万医疗工作者数据泄露风险

背景

如果一个勒索软件团伙能够确切知道哪些医疗提供商购买了勒索软件攻击保险，这些保险单还包含保证支付赎金的条款，会发生什么？

这将是每个勒索软件团伙的梦想。今天我们将见证两个漏洞如何使这成为可能。

在深入技术细节之前，首先需要了解在没有适当协调漏洞披露情况下的道德黑客行为背景，以及关于涵盖医疗提供商支付赎金的勒索软件保险的一些思考。

根据医疗部门机构CERT组织Z-CERT.nl的2023年度报告，当前医疗领域最大的威胁之一是勒索软件和金融欺诈。报告描述IT供应商比医疗提供商本身更常成为攻击目标。

在欧洲，Z-CERT记录了29起欧洲医疗机构的勒索软件事件，其中3起发生在荷兰，包括初级医疗保健（第13页）。

为什么有人会勒索公司？为了钱。没有钱，就没有（不道德的）黑客。

医疗诊所之所以不会被持枪窃贼抢劫或勒索，有一个很好的原因：那里根本没有钱…由于荷兰政府和医疗保险规范了这些诊所的收入，它们没有获得巨额利润。这可能解释了为什么（商业）供应商目前更常成为攻击目标。

但如果保险公司开始提供涵盖诊所被要求支付的赎金呢？我们可能为开始黑客攻击医疗诊所创造了一个好理由？

一年多前，我们讨论了HAwebsso.nl的数据泄露事件，该事件导致超过1.5万名荷兰医生的私人详细信息泄露，包括他们的电子邮件和哈希密码。这是一个有趣的发现，因为它揭示了一个存在至少3年（关于Archive.org日志甚至可能5年）的漏洞。

那次黑客攻击中获得的数据可以轻松用于进行鱼叉式网络钓鱼攻击。

LHV迅速缓解了该漏洞并协调了披露，这是协调漏洞披露如何在医疗领域应用的一个很好的例子。

我们这次黑客攻击的最终目标是获取每个人的私人保险单文件。谁拥有涵盖勒索软件攻击的保险，包括保证的勒索软件支付？让我们获取这些文件！

在登录自己的账户后，我立即识别出URL中的/s/。这通常暗示后台使用了Salesforce。

Salesforce使用对象工作；后台的一切都是对象。你的发票有一个对象ID，你的个人资料有一个对象ID，所有其他存储的数据都可以通过引用ID来访问。

使用Burp作为代理来MITM流量时，我收集了在流量中看到的对象ID。当我访问我的联系详细信息时，其中一个对象ID是0011r00002IXXXXX。

当我访问该URL时，我得到了另一个提示：Salesforce实例配置不当，暴露原始对象视图通常会暴露配置松懈。

一个月后，我检查了我们第一个漏洞的所有内容是否都已解决；确实解决了！

然而，可能是时候再次查看其客户门户的其他部分了。其中之一是已订阅服务（Producten）的概览。

当我点击我的法律保险时，我可以下载与此保险相关的文件：

https://0ada17bd-xxxx-xxxx-xxxx.div.vvaa.nl/ApiGateway/Api/Documents/GetBinary/123456/0

但是，如果我们将此123456 ID更改为URL中的其他ID呢？我们会看到另一个人的保险单吗？

由于我的朋友没有有效订阅，我无法获取要使用的ID，我决定使用随机整数来快速查看这是否是一个漏洞。

在这篇文章中，我们证明了我们可以获取医生和其他医疗工作者的机密信息。我们能够恢复他们当前的保险单和其他高度机密的信息，如电子邮件。

这使得恶意行为者能够精确攻击拥有保证赎金支付保险单的医疗诊所或医生。

VvAA对日志文件进行了审计，并得出结论：我是唯一发现该漏洞的人；好消息！