„Sermo“ 9 mln. USD silpno saugumo modelis

Gydytojų bendruomenėje buvo nemažai šurmulio apie tik gydytojų bendruomenę (arba „socialinį tinklą“, jei norite), vadinamą „Sermo“. Man buvo įdomu, kokia stipri buvo jų registracijos sistema, kad ne gydytojai galėtų užsisakyti paslaugą, kuri yra nemokama ir atvira visiems gydytojams, turintiems arba M., arba D. O. (ir DEA išrašymo numeris). Taigi paprašiau savo draugo technologijų ir saugumo konsultanto tai patikrinti.

Jo išvados manęs nenustebino. Tai užtruko penkias minutes ir tik du bando užregistruoti galiojančią gydytojo sąskaitą „Sermo“, nors jis nėra gydytojas. Jis naudojosi internete laisvai prieinama informacija, norėdamas užsiregistruoti kaip teisėtas gydytojas. Jis padarė keletą ekrano kadrų, kad parodytų man savo sėkmę:


Atrodo, kad problema yra tradicinė problema tarp „paprasto naudojimo“ ir „griežto saugumo“ prekybos. Geriausias ir griežtiausias saugumas būtų rankiniu būdu patikrinti kiekvieną registraciją su žmogaus telefono skambučiu. Bet, žinoma, tam reikėtų pinigų ir darbo jėgos, ko neturi daugelis startuolių.

Tačiau „Sermo“ negali pasiteisinti tuo pasiteisinimu, nes jis tiesiog uždarė dar vieną rizikos kapitalo ratą 26,7 mln. USD riboje (be jau turimų 9 mln. USD). Taigi stipriausias įmanomas saugumas, siekiant apsaugoti savo gydytojų narių neliečiamybę, yra patikrinti kiekvieną narį rankiniu būdu, tačiau taip nėra. Kalbant apie uždaros bendruomenės saugumą, „Sermo“ DUK tik sako:

Kaip sužinoti, kad „Sermo“ nariai iš tikrųjų yra MD?

Prisijungti prie „Sermo“ nėra lengva. Tiesą sakant, „Sermo“ technologija yra pirmoji tokia rūšis, kuri realiuoju laiku patvirtina ir patvirtina gydytojus. Mūsų pažangiausios technologijos dirba užkulisiuose, iš naujo patvirtina gydytojus kiekvieną kartą, kai jie prisijungia, užtikrindami, kad nariais galėtų tapti tik gydytojai.

Na, tiesą sakant, tai buvo nepaprastai lengva. Taip lengva, kad per 5 minutes tai padarė ne gydytojas. Ir jei atsitiktinai jie uždarys mano draugo sukurtą paskyrą, jis gali sukurti naują gydytojo paskyrą dar per 5 minutes. Kadangi „Sermo“ tapatybės nustatymo procesas yra iš esmės ydingas (mes jums nepasakysime, kaip jis tai padarė, todėl neklauskite), vienintelis ilgalaikis šios problemos sprendimas yra registratorių prašymas pateikti dar daugiau asmens tapatybės nustatančios informacijos (pripildyti daugelio žmonių) nepatiks pasiduoti, pavyzdžiui, jų socialinio draudimo numeris) arba paskambinti kiekvienam užsiregistravusiam asmeniui, kad įsitikintų, jog yra toks, koks yra.

Mes visi esame už uždaras gydytojų bendruomenes - manome, kad jie turi didžiulį potencialą. Bet mes tikimės, kad tokios bendruomenės savo nariams iš tikrųjų teikia geriausius privatumo ir saugumo interesus aukščiau nei „patogumas naudoti“ ir greita registracija. Mes taip pat tikimės, kad rizikos kapitalo įmonės iš tikrųjų atlieka šiek tiek daugiau kruopštaus patikrinimo, prieš pradėdamos savo pinigus į bet kokį naujausią / geriausią „socialinį tinklą“, nes būtent tos įmonės, kurios sumažino saugumo kampus, gali sugadinti tai būsimiems startuoliams panašiose erdvėse .

Dėl šio klausimo susisiekėme su „Sermo“ ir išsiaiškinome, kad likus dienai iki pradėjus tyrinėti šią saugumo spragą (penktadienį) „MedGadget“ jau atrado ir paskelbė savo požiūrį į ją. Jų metodas šiek tiek skyrėsi nuo mūsų konsultanto metodo, kuris paprasčiausiai atspėjo teisingą DEA numerį (nes jūs gaunate 3 bandymus iš 6 galimų skaičių). Žinoma, „Medgadget“ įrašas tai dar labiau palengvina.

„Sermo“ atstovas atsakė į mūsų klausimus:

„Sermo“ iš tikrųjų keičia autentifikavimo klausimus, o DEA nėra vienintelis elementas, kurį naudojame. Nepaisant to, imsimės papildomų veiksmų tam išspręsti. Deja, kai tampate didžiausia kada nors internetinė gydytojų bendruomenė, žmonės pradeda jums nustatyti savo svetaines.

Tiesa, tiesa. Bet jei norite įgyti profesionalo pasitikėjimą pabrėždami, kokia „saugi“ yra jūsų bendruomenė, turėtumėte būti pasirengę laikytis dabartinės registracijos praktikos. Tai, kad šiuo metu jų registracija yra tokia lengva, reiškia, kad jų bendruomenė yra mažiau saugi.

Sermo taip pat priminė, kad apsimetinėti gydytoju yra federalinis nusikaltimas. Mes norėtume sužinoti, kiek federalinių išteklių būtų išleista paskui „Sermo“ pažeidėjus. „Sermo“ gali remtis tik „Sermo“ palaikydama „Sermo“ saugumo modelį.

„Sermo“ tvirtina, kad šiandien jai priklauso 30 000 gydytojų narių. Mums įdomu, kiek iš tikrųjų yra gydytojai?

!-- GDPR -->