HARD CORE SECURITY LAB

Serwis Przychodnia.pl reklamuje się jako Pierwsza Polska Przychodnia Internetowa, a jego misją jest ponoć wyjście na przeciw (pisownia oryginalna) potrzebom pacjentów, ułatwienie im odnalezienia podstawowych informacji z zakresu profilaktyki medycznej oraz skrócenie naszej drogi do lekarzy. Serwis ten jest całkiem popularny i m.in. umożliwia każdemu zarejestrowanie własnego użytkownika... a właściwie nie użytkownika, lecz hasła! Spójrzmy pokrótce na to, w jak kuriozalny sposób Przychodnia.pl wystawia swych użytkowników oraz ich dane personalne na realne niebezpieczeństwo.

Jeden z czytelników HCSL (bartek46op) zwrócił wczoraj moją uwagę na bardzo osobliwe podejście administracji serwisu Przychodnia.pl do tematu bezpieczeństwa własnych użytkowników. Zgodnie z zapewnieniami Bartka, wszelkie informacje na poniższy temat przekazywane przez niego osobom związanym z serwisem pozostały bez jakiejkolwiek odpowiedzi. Spójrzmy więc ku przestrodze, na co narażeni się użytkownicy tej wirtualnej przychodni.

Spójrzmy przede wszystkim na formularz rejestracji nowego użytkownika w serwisie:
Tylko zarejestrowany użytkownik w pełni skorzysta z wszystkich dobrodziejstw serwisu, musimy się więc zarejestrować. Próżno jednak szukać pola przeznaczonego na określenie własnej nazwy użytkownika. Otóż identyfikować będzie nas jedynie... unikalne hasło! Spróbujmy się więc zarejestrować z wykorzystaniem jakiegoś popularnego wśród internautów hasła:
Operacja nie udała się, zapewne jednak dlatego, że już ktoś takiego hasła użył. Cóż to oznacza? Potencjalny intruz może się teraz za pomocą tego hasła zalogować do serwisu i w ten sposób uzyska dostęp do wszystkich danych zgromadzonych tam przez pewnego innego użytkownika. Patrząc raz jeszcze na formularz rejestracji, może to być całkiem sporo szczegółowych danych teleadresowych. Warto zauważyć, że nawet poprzez małą pomyłkę we wpisywanym haśle, możemy się przez przypadek zalogować na konto innego użytkownika! To jednak nie koniec potencjalnych problemów mogących wynikać z tego typu ataku.

Jeśli dany użytkownik stosuje to samo hasło w różnych serwisach i usługach internetowych (a jak wiemy, praktycznie wszyscy mamy przecież do tego mniejsze lub większe skłonności), to intruz dysponujący danymi z formularza rejestracyjnego w Przychodnia.pl (takimi jak imię, nazwisko, miejscowość oraz adres e-mail) bez problemu będzie mógł również uzyskać dostęp do innych kont użytkownika odnalezionych potencjalnie w wielu innych serwisach internetowych. Warto również zauważyć, że sam serwis Przychodnia.pl oferuje również konta poczty e-mail:

Nie wiem jak bardzo usługa ta jest popularna wśród użytkowników wirtualnej przychodni, a może wśród lekarzy chcących mieć adres w domenie przychodnia.pl, możemy sobie jednak łatwo wyobrazić to, jak wygląda bezpieczeństwo poczty elektronicznej w tym serwisie.

Na koniec warto jeszcze tylko zauważyć, że w serwisie znajdują się również inne podatności na popularne typy ataków, a hasła wszystkich użytkowników są w ramach Przychodnia.pl przechowywane w postaci jawnej (niezaszyfrowanej):
Oczywiście ja również spróbuję się skontaktować w powyższych sprawach z administratorami serwisu, być może tym razem doczekamy się jakiejś odpowiedzi. Na chwilę obecną wszystkich użytkowników serwisu Przychodania.pl zachęcam jednak do rozważenia usunięcia z jego zasobów własnych kont lub upewnienia się, że dane tam zgromadzone nie przydadzą się w żaden sposób potencjalnym intruzom.

Przypominam, że nadal możecie głosować na HCSL!