Sermos 9 Millionen US-Dollar schwaches Sicherheitsmodell

In der Ärzte-Community herrscht eine Menge Aufsehen über eine Community nur für Ärzte (oder ein „soziales Netzwerk“, wenn Sie es vorziehen) namens Sermo. Ich war neugierig, wie stark ihr Registrierungssystem war, um zu verhindern, dass Nicht-Ärzte den Dienst abonnieren, der kostenlos und für alle Ärzte offen ist, die entweder einen M.D.- oder einen D.O.-Dienst haben. (und eine DEA-Verschreibungsnummer). Also bat ich einen Freund eines Technologie- und Sicherheitsberaters, dies zu überprüfen.

Seine Ergebnisse haben mich nicht überrascht. Er brauchte fünf Minuten und nur zwei Versuche, ein gültiges Arztkonto bei Sermo zu registrieren, obwohl er kein Arzt ist. Er nutzte Informationen, die im Internet frei verfügbar waren, um sich als jemand zu registrieren, der ein legitimer Arzt war. Er machte ein paar Screenshots, um mir seinen Erfolg zu zeigen:

Das Problem scheint ein traditionelles Problem zwischen dem Kompromiss zwischen „Benutzerfreundlichkeit“ und „strenger Sicherheit“ zu sein. Die beste und strengste Sicherheit wäre, jede Registrierung manuell mit einem menschlichen Telefonanruf zu überprüfen. Aber dies würde natürlich Geld und Arbeitskräfte erfordern, was viele Startups nicht haben.

Aber Sermo kann diese Ausrede nicht verwenden, da gerade eine weitere Runde der VC-Finanzierung im Bereich von 26,7 Mio. USD abgeschlossen wurde (zusätzlich zu den bereits gesammelten 9 Mio. USD). Die größtmögliche Sicherheit zum Schutz der Integrität der Mitglieder ihres Arztes besteht darin, jedes Mitglied manuell zu überprüfen, dies ist jedoch nicht der Fall. Wenn es um die Sicherheit ihrer geschlossenen Community geht, heißt es in den FAQ von Sermo nur:

Woher weiß ich, dass Sermo-Mitglieder wirklich MDs sind?

Der Beitritt zu Sermo ist nicht einfach. Tatsächlich ist die Sermo-Technologie die erste ihrer Art, die Ärzte in Echtzeit authentifiziert und ausweist. Unsere hochmoderne Technologie arbeitet hinter den Kulissen und validiert Ärzte bei jeder Anmeldung erneut, um sicherzustellen, dass nur Ärzte Mitglieder werden können.

Tatsächlich war es unglaublich einfach. So einfach, dass es innerhalb von 5 Minuten jemand tat, der kein Arzt war. Und wenn sie zufällig das von meinem Freund erstellte Konto schließen, kann er in weiteren 5 Minuten ein neues Arztkonto erstellen. Da der Authentifizierungsprozess von Sermo grundlegend fehlerhaft ist (wir werden Ihnen nicht sagen, wie er es getan hat, fragen Sie also nicht), besteht die einzige langfristige Lösung für dieses Problem darin, Registranten nach noch persönlicheren Informationen zu fragen (viele Leute Ich möchte nicht aufgeben (wie ihre Sozialversicherungsnummer) oder jede Person anrufen, die sich registriert, um zu überprüfen, ob sie der ist, für den sie sich ausgibt.

Wir sind alle für geschlossene Ärztegemeinschaften - wir glauben, dass sie ein enormes Potenzial haben. Wir hoffen jedoch, dass solche Communities ihren Mitgliedern wirklich die besten Datenschutz- und Sicherheitsinteressen über „Benutzerfreundlichkeit“ und schnelle Registrierungen stellen. Wir hoffen auch, dass VCs wirklich etwas mehr Sorgfalt walten lassen, bevor sie ihr Geld in das neueste / größte „soziale Netzwerk“ stecken, denn genau diese Unternehmen, die die Sicherheit einschränken, können es für zukünftige Startups in ähnlichen Bereichen ruinieren .

Wir haben Sermo bezüglich dieses Problems kontaktiert und festgestellt, dass MedGadget einen Tag vor Beginn der Untersuchung dieser Sicherheitslücke (Freitag) bereits ihre Einstellung dazu entdeckt und veröffentlicht hat. Ihre Methode war etwas anders als die unseres Beraters, der einfach die richtige DEA-Nummer erraten hat (weil Sie 3 Versuche aus 6 möglichen Nummern erhalten). Der Beitrag von Medgadget macht es natürlich noch einfacher.

Ein Sprecher von Sermo antwortete auf unsere Anfragen mit:

Sermo dreht tatsächlich die Authentifizierungsfragen und DEA ist nicht das einzige Element, das wir verwenden. Wir werden jedoch zusätzliche Schritte unternehmen, um dies zu beheben. Leider beginnen die Leute, wenn Sie die größte Online-Community von Ärzten werden, ihre Websites auf Sie zu richten.

Wahr, wahr. Wenn Sie jedoch das Vertrauen eines Fachmanns gewinnen möchten, indem Sie betonen, wie „sicher“ Ihre Community ist, sollten Sie bereit sein, sich an Ihre aktuellen Registrierungspraktiken zu halten. Die Tatsache, dass ihre Registrierung derzeit so einfach zu spielen ist, bedeutet, dass ihre Community nicht sicher ist.

Sermo erinnerte uns auch daran, dass es eine Straftat des Bundes ist, sich als Arzt auszugeben. Wir würden gerne sehen, wie viel Bundesmittel für Sermo-Verstöße aufgewendet werden. Sermo kann sich nur auf Sermo verlassen, um das Sicherheitsmodell von Sermo aufrechtzuerhalten.

Sermo behauptet, heute 30.000 Ärzte zu haben. Wir fragen uns, wie viele von ihnen wirklich Ärzte sind.