Слабка модель безпеки Sermo за 9 мільйонів доларів

У медичній спільноті досить багато галасу про спільноту лікарів (або "соціальну мережу", якщо хочете), яка називається Sermo. Мені було цікаво, наскільки сильною була їхня система реєстрації, щоб не лікарі могли підписатися на послугу, яка є безкоштовною та відкритою для всіх лікарів, які мають або доктор медичних наук, або доктор медичних наук. (і номер, що виписує DEA). Тож я попросив мого друга-консультанта з питань технологій та безпеки перевірити це.

Його знахідки мене не здивували. Йому знадобилося п’ять хвилин, і лише дві спроби зареєструвати дійсний рахунок лікаря в Sermo, хоча він і не лікар. Він використав інформацію, вільно доступну в Інтернеті, щоб зареєструватися як той, хто є законним лікарем. Він зробив кілька знімків екрану, щоб показати мені свій успіх:

Проблема, схоже, полягає в традиційній проблемі між компромісом "простоти використання" та "жорсткою безпекою". Найкращим і найжорсткішим методом безпеки було б вручну перевірити кожну реєстрацію за допомогою телефонного дзвінка людини. Але, звичайно, для цього знадобляться гроші та робоча сила, чого у багатьох стартапів немає.

Але Сермо не може скористатися цим виправданням, оскільки він щойно закрив черговий раунд фінансування ВК в межах 26,7 мільйона доларів (на додаток до існуючих 9 мільйонів доларів, які вони вже залучили). Отже, найсильнішим можливим захистом цілісності членів їхнього лікаря є перевірка кожного члена вручну, проте це не так. Що стосується безпеки їхньої закритої спільноти, поширені запитання про Sermo лише говорять:

Як я можу дізнатися, що члени Sermo насправді є лікарями медицини?

Приєднатися до Sermo непросто. Насправді, технологія Sermo є першою у своєму роді для аутентифікації та підтвердження справжності лікарів у режимі реального часу. Наша найсучасніша технологія працює за лаштунками, перевіряючи лікарів кожного разу, коли вони входять, гарантуючи, що членами можуть стати лише лікарі.

Ну насправді це було неймовірно просто. Настільки просто, що протягом 5 хвилин це зробив хтось, хто не був лікарем. І якщо випадково вони закриють обліковий запис, який створив мій друг, він може створити новий рахунок лікаря ще через 5 хвилин. Оскільки процес автентифікації Сермо є принципово хибним (ми не будемо розповідати вам, як він це зробив, тому не питайте), єдиним довгостроковим виправленням цієї проблеми є прохання у реєстрантів отримати ще більше інформації, яка може ідентифікувати вас (багато людей не хотів би здаватися, як номер свого соціального страхування), або телефонувати кожній особі, яка реєструється, щоб підтвердити, що вони є тими, за кого кажуть.

Ми всі за закриті лікарські спільноти - ми вважаємо, що вони мають величезний потенціал. Але ми сподіваємось, що такі спільноти дійсно ставлять своїх членів якнайкращі інтереси щодо конфіденційності та безпеки вище “простоти використання” та швидкої реєстрації. Ми також сподіваємось, що венчурні комітети дійсно трохи ретельніше перевіряють ситуацію, перш ніж вкладати свої гроші в будь-яку останню / найбільшу "соціальну мережу", оскільки саме ті компанії, які вирізали кути безпеки, можуть зіпсувати її для майбутніх стартапів у подібних місцях .

Ми зв’язались із Sermo щодо цього питання і виявили, що за день до того, як ми розпочали розслідування цієї діри в безпеці (п’ятниця), MedGadget вже виявив та опублікував свою думку щодо цього. Їх метод дещо відрізнявся від методу нашого консультанта, який просто вгадав правильний номер DEA (адже ви отримуєте 3 спроби з 6 можливих чисел). Звичайно, публікація Medgadget робить це ще простішим.

Представник "Сермо" відповів на наші запити:

Sermo насправді обертає питання автентифікації, і DEA - не єдиний елемент, який ми використовуємо. Тим не менше, ми вживатимемо додаткових заходів для вирішення цієї проблеми. На жаль, коли ви стаєте найбільшою спільнотою лікарів в Інтернеті, люди починають розміщувати на вас свої сайти.

Правда-правда. Але якщо ви хочете завоювати довіру професіонала, підкреслюючи, наскільки “безпечною” є ваша спільнота, ви повинні бути готовими дотримуватися своїх поточних практик реєстрації. Той факт, що їх реєстрація настільки проста в даний час, означає, що їх громада є менш безпечною.

Сермо також нагадав нам, що видавання себе за лікаря є федеральним злочином. Однак ми хотіли б подивитися, яку кількість федеральних ресурсів буде витрачено на порушників сермо. Sermo може покладатися лише на Sermo, щоб підтримати модель безпеки Sermo.

Сермо стверджує, що на сьогоднішній день у ньому налічується 30000 лікарів. Цікаво, скільки з них насправді медиків?