Il modello di sicurezza debole da 9 milioni di dollari di Sermo
Nella comunità dei medici, c'è stata una discreta quantità di buzz su una comunità di soli medici (o "social network", se preferisci) chiamata Sermo. Ero curioso di sapere quanto fosse forte il loro sistema di registrazione per impedire ai non medici di iscriversi al servizio, che è gratuito e aperto a tutti i medici che hanno un M.D. o un D.O. (e un numero di prescrizione DEA). Così ho chiesto a un mio amico consulente di tecnologia e sicurezza di verificarlo.
Le sue scoperte non mi hanno sorpreso. Gli ci sono voluti cinque minuti e solo due tentavano di registrare un account medico valido presso Sermo, anche se non è un medico. Ha usato le informazioni liberamente disponibili su Internet per registrarsi come qualcuno che era un medico legittimo. Ha scattato alcune schermate per mostrarmi il suo successo:
Il problema sembra essere una questione tradizionale tra la negoziazione di "facilità d'uso" con "sicurezza rigorosa". La sicurezza migliore e più rigorosa sarebbe quella di verificare manualmente ogni registrazione con una telefonata umana. Ma, ovviamente, ciò richiederebbe denaro e manodopera, qualcosa che molte startup non hanno.
Ma Sermo non può usare questa scusa, dal momento che ha appena chiuso un altro round di finanziamenti VC nella gamma di $ 26,7 milioni (in aggiunta agli attuali $ 9 milioni che hanno già raccolto). Quindi la massima sicurezza possibile per proteggere l'integrità dei loro membri medici è quella di verificare ogni membro manualmente, ma non lo sono. Quando si tratta di sicurezza della loro comunità chiusa, le FAQ di Sermo dicono solo:
Come faccio a sapere che i membri di Sermo sono davvero MD?
Entrare in Sermo non è facile. In effetti, la tecnologia Sermo è la prima del suo genere ad autenticare e accreditare i medici in tempo reale. La nostra tecnologia all'avanguardia sta lavorando dietro le quinte, convalidando nuovamente i medici ogni volta che effettuano l'accesso, assicurando che solo i medici possano diventare membri.
In effetti, è stato incredibilmente facile. Così facile che in 5 minuti qualcuno che non era un medico lo fece. E se per caso chiudono l'account creato dal mio amico, può creare un nuovo account medico in altri 5 minuti. Poiché il processo di autenticazione di Sermo è fondamentalmente imperfetto (non ti diremo come l'ha fatto, quindi non chiedere), l'unica soluzione a lungo termine per questo problema è chiedere ai registranti informazioni ancora più identificabili personalmente (roba molte persone non vorrebbe mollare, come il loro numero di previdenza sociale), o chiamare ogni persona che si registra per verificare di essere chi dice di essere.
Siamo tutti per comunità di medici chiusi - pensiamo che abbiano un enorme potenziale. Ma ci auguriamo che tali comunità pongano davvero i migliori interessi di privacy e sicurezza dei loro membri al di sopra della "facilità d'uso" e delle registrazioni rapide. Speriamo anche che i VC facciano davvero un po 'più di due diligence prima di investire i loro soldi in qualunque sia l'ultimo / più grande "social network", perché sono esattamente quelle aziende che tagliano gli angoli della sicurezza che possono rovinarlo per le future startup in spazi simili .
Abbiamo contattato Sermo in merito a questo problema e abbiamo scoperto che un giorno prima di iniziare a indagare su questa falla di sicurezza (venerdì), MedGadget aveva già scoperto e pubblicato la sua opinione. Il loro metodo era leggermente diverso dal metodo del nostro consulente, che ha semplicemente indovinato il numero DEA corretto (perché ottieni 3 tentativi su 6 numeri possibili). Ovviamente, il post di Medgadget lo rende ancora più semplice.
Un portavoce di Sermo ha risposto alle nostre richieste con,
Sermo in realtà ruota le domande di autenticazione e DEA non è l'unico elemento che utilizziamo. Tuttavia, adotteremo ulteriori misure per affrontare questo problema. Purtroppo, quando diventi la più grande comunità di medici online di sempre, le persone iniziano a impostare i loro siti su di te.
Vero vero. Ma se vuoi ottenere la fiducia di un professionista sottolineando quanto sia "sicura" la tua comunità, dovresti essere pronto a sostenere le tue attuali pratiche di registrazione. Il fatto che la loro registrazione sia così facile da giocare attualmente significa che la loro comunità è tutt'altro che sicura.
Sermo ci ha anche ricordato che impersonare un medico è un reato federale. Tuttavia, ci piacerebbe vedere quale quantità di risorse federali verrebbe spesa per andare dietro ai violatori di Sermo. Sermo può fare affidamento su Sermo solo per sostenere il modello di sicurezza di Sermo.
Sermo afferma di avere oggi 30.000 membri medici. Ci chiediamo, quanti di loro sono davvero medici?
