No Comments

Die medizinische Klinik von ES stellt medizinische Untersuchungen von IDOR und SQLi zur Verfügung

 

Der Hack eröffnet an diesem Dienstag (19) das neue Framework LeserbeschwerdeZiel ist es, die Ergebnisse unserer Leser zu Datenlecks und Schwachstellen in Systemen, Anwendungen und Software zu veröffentlichen. Für dieses Debüt Die Warnung richtet sich an Kunden von MAIS Medicina Diagnóstica, auf bildgebende Untersuchungen spezialisierte medizinische Klinik in Vitória, Espírito Santo.

  • Haben Sie auch eine Beschwerde bei The Hack? Schreiben Sie an [email protected]. Die Vertraulichkeit Ihrer Identität ist garantiert.

Laut einer Quelle, die sich nicht ausweisen wollte, muss das System, mit dem das Unternehmen die gescannten Ergebnisse der Untersuchungen speichert und seinen Patienten zur Verfügung stellt, nicht authentifiziert werden. Nur auf der „primären“ Website der Klinik wird eine Kennwortanmeldung angefordert. Das heißt, die Domäne, in der sich die vertraulichen Dateien befinden kann auf zwei Arten angegriffen werden, um vertrauliche Informationen zu extrahieren: IDOR-Ausnutzung und SQL-Injection (SQLi).

IDOR, kurz für Insecure Direct Object Reference, ist ein Fehler, der bei einem Websystem auftritt verwendet vorhersagbare numerische Sequenzierung, um Informationen oder Dokumente zurückzugebeno – Zum Beispiel, wenn Sie Ihre Rechnung unter der URL anzeigen www.banco.com/fatura?id=121Möglicherweise können Sie auf die Rechnung eines anderen zufälligen Kunden zugreifen, indem Sie die Kennung ändern und auf zugreifen www.banco.com/fatura?id=120.

Die SQL-Injection nutzt Fehler in der Kommunikation zwischen der Webanwendung und ihrer Datenbank über SQL (Structured Query Language), die zum Lesen, Aktualisieren, Hinzufügen und Löschen von Informationen aus dieser Datenbank verwendet wird. Ein Angreifer kann Verwenden Sie eine solche Lücke, um Zugriff auf die gesamte betreffende Datenbank zu erhaltenSie können Datensätze löschen oder eine Kopie aller Informationen auf Ihrem lokalen Computer erstellen.

In beiden Fällen ist das Risiko das gleiche – die unangemessene Offenlegung medizinischer Daten, etwas, das kann Sanktionen und Geldstrafen für MAIS Medicina Diagnóstica gemäß den Bestimmungen des Allgemeinen Datenschutzgesetzes (LGPD) verhängen. Soweit alles darauf hindeutet, dass das anfällige System ausgelagert ist, kann die Klinik dennoch dafür verantwortlich sein, dass sie keinen vorherigen Schritt zur Analyse der Sicherheit ihres Lieferanten durchgeführt hat.

Der Hack hat sich mit MAIS Medicina Diagnóstica in Verbindung gesetzt und wartet auf die Antwort des Unternehmens. In diesem Fall werden wir diesen Artikel aktualisieren.


See the original post at: https://thehack.com.br/denuncia-clinica-medica-do-es-expoe-exames-medicos-por-idor-e-sqli/?rand=48891

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.

Menu