200萬墨西哥病患的醫療數據被暴露；OpenEMR系統存在多個漏洞

GIF

聚焦源代碼安全，網羅國內外最新資訊！

作者：Lawrence Abrams和Shaun Nichols

翻譯：360代碼衛士團隊

含有200萬墨西哥病患醫療信息的MongoDB資料庫遭暴露。被暴露的數據包括病患全名、性別、出生日期、保險信息、殘疾情況以及家庭住址。

MongoDB 資料庫遭暴露

安全研究員 Bob Diachenko 通過 Shodan 搜索引擎發現了該資料庫，任何人無需密碼均可訪問並編輯該資料庫。Diachenko 分析後發現他能夠找到包含管理員郵件地址在內的欄位。這些郵件擁有 hovahealth.com 和 efimed.care 域名。

Hovahealth.com屬於位於墨西哥的 Hova Health 技術公司，主要為醫療行業服務。目前尚不清楚 efimed.care 域名屬於哪家公司，可能歸政府醫療服務所有。

Diachenko 指出發現資料庫遭暴露後告知 Hova Health 公司，後者回應稱將仔細審查此事，避免類似事件再次發生。三小時後資料庫的安全得到加固。雖然從資料庫條目能看出管理人員是誰，但 Diachenko 表示這些管理人員從未直接說明其所有權。因此目前尚不知曉數據到底屬於誰。

筆者嘗試聯繫 Hova Health 以及託管 Enfimed 信息的另外一個網站，但無論通過美國還是墨西哥 IP 地址均未取得聯繫。

MongoDB 資料庫遭暴露並非新鮮事。隨著醫療行業遭受的惡意攻擊越來越多，管理員應該遵循最佳實踐確保資料庫安全。

OpenEMR 醫療記錄存儲系統存在多個漏洞

醫療行業的安全不容小覷。最近，Project Insecurity 公司的研究團隊在使用廣泛的 OpenEMR 醫療記錄存儲系統中發現並報告多個安全漏洞。這些漏洞已由開發人員在上個月發布的版本 5.0.14 中修復。幾周後，研究人員發布詳細的披露報告。

在這些漏洞中，4個是遠程代碼執行漏洞，9個是 SQL 注入漏洞、任意讀寫和刪除漏洞、3個信息泄露缺陷、1個跨站請求偽造可導致遠程代碼執行的漏洞、1個不受限制的文件上傳漏洞、病患門戶認證繞過缺陷以及僅通過猜測 URL 路徑就能執行的管理操作等。

研究人員表示所有的問題都是在未使用任何自動化測試工具的情況下發現的。他們手動審查源代碼並通過 Burp Suite Communicty Edition 修改請求，並未使用任何自動化掃描器或源代碼分析工具。

研究人員建議在 PHP 腳本中使用參數化資料庫查詢（以阻止 SQL 注入）並只能向非可執行圖像文件上傳（以修復任意文件上傳和運行漏洞）。至於其它漏洞如遠程代碼執行和跨站請求偽造漏洞要求開發人員提高速度並實現編寫源代碼的最佳實踐。

OpenEMR 自稱為「最流行的開源電子醫療記錄和醫療實踐管理解決方案」。

https://www.bleepingcomputer.com/news/security/health-care-data-of-2-million-people-in-mexico-exposed-online/

https://www.theregister.co.uk/2018/08/07/openemr_vulnerabilities/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！