60万人の個人情報が流出した医療機関予約システムが想像以上にざるの可能性 ・ω・
医療機関予約システムに不正アクセス 最大60万人の情報流出か - 産経ニュース
アドウイックなどによると、昨年7月から今年10月10日までにインターネット予約システム「シマフクロウ・シリーズ」を利用した人の氏名、電話番号、メールアドレス、受診医療機関名、診察券番号などが流出した恐れがある。北海道を中心とした9道府県の約80の医療機関がシステムを導入。情報を悪用した被害は確認されていないという。 |
医療機関予約システムに不正アクセス
シマフクロウ・リザーブ
「当日の時間予約」から「未来の時間予約」まで。 携帯電話、スマートフォン、パソコンから24時間365日、いつでも時間予約ができる「WEB予約システム」です。 |
これらしい。
移管のニュースとか全部消されてる。
でも、システム自体は今も動いているらしい
・・・まぁ、急に止めたらトラブルになるもんね・ω・
というわけで簡単にセキュリティチェックしてみた
SSLがまず RC4
予約システムのURLにクライアントIDがあるんだけど、どうやら数字に法則があるらしい。
同じ病院の予約システムの場合通し番号になっていて全部アクセス可能。
これには、ちょっといろいろ突っ込みたい・ω・;;;
XSS の脆弱性チェックしてみた。 3つ脆弱性あり。
おそらくここから情報が漏れたらしい
この話題、他のメディアが取り扱ってないのが気になります。結構大事だと思うんですけどね。
この話題、他のメディアが取り扱ってないのが気になります。結構大事だと思うんですけどね。