Modelo de seguridad débil de $ 9 millones de Sermo
En la comunidad de médicos, ha habido una gran cantidad de rumores sobre una comunidad exclusiva de médicos (o "red social", si lo prefiere) llamada Sermo. Tenía curiosidad por saber qué tan sólido era su sistema de registro para evitar que los no médicos se suscribieran al servicio, que es gratuito y está abierto a todos los médicos que tienen un M.D. o un D.O. (y un número de prescripción de la DEA). Así que le pedí a un consultor de tecnología y seguridad que lo comprobara.
Sus hallazgos no me sorprendieron. Le tomó cinco minutos y solo dos intentos para registrar una cuenta médica válida en Sermo, a pesar de que no es médico. Utilizó información disponible gratuitamente en Internet para registrarse como médico legítimo. Tomó algunas capturas de pantalla para mostrarme su éxito:
El problema parece ser un problema tradicional entre el intercambio de "facilidad de uso" con "seguridad estricta". La mejor y más estricta seguridad sería verificar manualmente todos y cada uno de los registros con una llamada telefónica humana. Pero, por supuesto, esto requeriría dinero y mano de obra, algo que muchas startups no tienen.
Pero Sermo no puede usar esa excusa, ya que acaba de cerrar otra ronda de financiación de capital riesgo en el rango de $ 26,7 millones (además de los $ 9 millones que ya han recaudado). Por lo tanto, la seguridad más sólida posible para proteger la integridad de los miembros médicos es verificar a cada miembro manualmente, pero no es así. Cuando se trata de la seguridad de su comunidad cerrada, las preguntas frecuentes de Sermo solo dicen:
¿Cómo sé que los miembros de Sermo son realmente médicos?
Unirse a Sermo no es fácil. De hecho, la tecnología Sermo es la primera de su tipo en autenticar y acreditar a los médicos en tiempo real. Nuestra tecnología de vanguardia está trabajando detrás de escena, revalidando a los médicos cada vez que se registran, asegurando que solo los médicos puedan convertirse en miembros.
Bueno, de hecho, fue increíblemente fácil. Tan fácil que en 5 minutos lo hizo alguien que no era médico. Y si por casualidad cierran la cuenta que creó mi amigo, puede crear una nueva cuenta de médico en otros 5 minutos. Debido a que el proceso de autenticación de Sermo es fundamentalmente defectuoso (no le diremos cómo lo hizo, así que no pregunte), la única solución a largo plazo para este problema es solicitar a los registrantes aún más información de identificación personal (cosas que muchas personas no querrá darse por vencido, como su número de seguro social), o llamar a cada persona que se registre para verificar que son quienes dicen ser.
Todos estamos a favor de las comunidades médicas cerradas; creemos que tienen un potencial enorme. Pero esperamos que estas comunidades realmente pongan los mejores intereses de privacidad y seguridad de sus miembros por encima de la “facilidad de uso” y los registros rápidos. También esperamos que los capitalistas de riesgo realmente hagan un poco más de diligencia debida antes de invertir su dinero en la última o mejor "red social" que sea, porque son exactamente las empresas que recortan las esquinas en seguridad las que pueden arruinarla para futuras nuevas empresas en espacios similares. .
Contactamos a Sermo con respecto a este problema y descubrimos que un día antes de que comenzáramos a investigar este agujero de seguridad (viernes), MedGadget ya había descubierto y publicado su opinión al respecto. Su método era ligeramente diferente al método de nuestro consultor, que simplemente adivinó el número de DEA correcto (porque obtienes 3 intentos de 6 números posibles). Por supuesto, la publicación de Medgadget lo hace aún más fácil.
Un portavoz de Sermo respondió a nuestras consultas con:
Sermo realmente rota las preguntas de autenticación y DEA no es el único elemento que usamos. Sin embargo, tomaremos medidas adicionales para solucionar este problema. Lamentablemente, cuando se convierte en la comunidad de médicos en línea más grande de la historia, las personas comienzan a establecer sus sitios en usted.
Verdad verdad. Pero si desea ganarse la confianza de un profesional haciendo hincapié en lo "segura" que es su comunidad, debe estar preparado para respetar sus prácticas de registro actuales. El hecho de que su registro sea tan fácil de jugar en la actualidad significa que su comunidad es menos segura.
Sermo también nos recordó que hacerse pasar por un médico es un delito federal. Sin embargo, nos encantaría ver qué cantidad de recursos federales se gastarían para perseguir a los infractores de Sermo. Sermo solo puede confiar en Sermo para mantener el modelo de seguridad de Sermo.
Sermo afirma que tiene 30.000 miembros médicos en la actualidad. Nos preguntamos, ¿cuántos de ellos son realmente médicos?
