Портал для пациентов, входящий в состав системы управления стоматологическими клиниками Practice by Numbers, имел ошибку, позволяющую любому пользователю изменить номер документа в веб‑адресе и получить доступ к записям других пациентов, включая их личные данные и фотографии. Проблему обнаружил Joseph R. Cox, который смог просмотреть чужие файлы, а также заметил, что его собственные записи были открыты для всех.
Что произошло
Эксплуатация уязвимости заключалась в простом изменении последовательного номера документа в URL. Компания не предоставляла рабочий канал для сообщения о подобных проблемах — их электронная почта возвращалась, а попытки связаться через LinkedIn остались без ответа. После вмешательства TechCrunch компания отключила портал 13 апреля, исправила уязвимость и включила его снова 17 апреля.
Почему это важно
Система используется в более чем 5 000 стоматологических практик по всей стране, поэтому потенциальный масштаб утечки был огромным. Компания сообщает, что лишь менее 10 пациентов получили уведомление о возможном раскрытии данных, но отсутствие программы раскрытия уязвимостей и медленная реакция повышают риск повторных инцидентов.
Что дальше
Соучредители Chris Lau и Rohit Garg заявили о планах добавить на сайт возможность сообщения о проблемах безопасности, однако конкретные сроки пока не объявлены.