В популярной системе медицинской документации нашли 30 уязвимостей. В зоне риска 100 млн пациентов
 
2018/08/10 05:42:59

OpenEMR (система медицинской документации)

.

OpenEMR — система для ведения медицинской документации: регистратура, медицинские карты, отчеты и составление счетов оплаты. Проект имеет открытый исходный код. Платформа используется во всем мире для интеграции и хранения медицинских данных.

2018: Обнаружение 30 уязвимостей. В зоне риска 100 млн пациентов

В августе 2018 года были обнаружены 30 уязвимостей в открытое системе медицинской документации OpenEMR, в результате чего в зоне риска оказались 100 млн пациентов. Разработчики поспешили исправить все недочеты, однако получается это не быстро.

В популярной системе медицинской документации нашли 30 уязвимостей OpenEMR

Из-за уязвимостей в OpenEMR злоумышленники могут обмануть систему идентификации пациента, перейдя на страницу регистрации и изменив URL-адрес для доступа к желаемой странице. Исследователи из Project Insecurity предоставили список всех страниц каталога портала, которые откроются для хакера, в том числе профили пациентов. Кроме того, они обнаружили уязвимости в системе безопасности, которые могут быть использованы для просмотра информации из целевой базы данных или для выполнения других задач.

Многие недочеты безопасности позволяли удаленно изменять код, повышать привилегии пользователя и в результате просматривать любые конфиденциальные данные. Для выявления этих уязвимостей не требовались специальных программ для анализа кода. Исследователи обнаружили их, просто вручную просмотрев исходный код. Хакер мог получить доступ к записям пациентов и базам данных, а также загрузить файлы, изменить имеющуюся информацию и многое другое. В предоставленном специалистами отчете указаны серьезные проблемы в конфигурации EHR, которые могут привести к полной компрометации платформы.

Исследователи предупредили разработчиков OpenEMR об имеющихся уязвимостях и создали тестовую систему для проверки платформы. В августе было выпущено обновление с исправлениями, однако к августу 2018 года 18 уязвимостей остаются незакрытыми. [1]

Примечания