Modèle de sécurité faible de 9 M $ de Sermo
Dans la communauté des médecins, il y a eu beaucoup de buzz au sujet d'une communauté réservée aux médecins (ou «réseau social», si vous préférez) appelée Sermo. J'étais curieux de savoir à quel point leur système d'inscription était solide pour empêcher les non-médecins de s'abonner au service, qui est gratuit et ouvert à tous les médecins titulaires d'un M.D. ou d'un D.O. (et un numéro de prescription DEA). J'ai donc demandé à un ami consultant en technologie et en sécurité de le vérifier.
Ses découvertes ne m'ont pas surpris. Cela lui a pris cinq minutes et seulement deux essais pour créer un compte médecin valide à Sermo, même s’il n’est pas médecin. Il a utilisé des informations disponibles gratuitement sur Internet pour s'inscrire en tant que médecin légitime. Il a pris quelques captures d'écran pour me montrer son succès:
Le problème semble être un problème traditionnel entre le compromis entre «facilité d’utilisation» et «sécurité renforcée». La meilleure et la plus stricte sécurité serait de vérifier manuellement chaque enregistrement avec un appel téléphonique humain. Mais, bien sûr, cela nécessiterait de l'argent et de la main-d'œuvre, ce que de nombreuses startups n'ont pas.
Mais Sermo ne peut pas utiliser cette excuse, car il vient de terminer sur une autre ronde de financement de capital-risque de l'ordre de 26,7 millions de dollars (en plus des 9 millions de dollars déjà collectés). La sécurité la plus forte possible pour protéger l’intégrité de leurs médecins membres consiste donc à vérifier chaque membre manuellement, mais ce n’est pas le cas. En ce qui concerne la sécurité de leur communauté fermée, la FAQ de Sermo dit seulement:
Comment savoir que les membres de Sermo sont vraiment des médecins?
Rejoindre Sermo n’est pas facile. En fait, la technologie Sermo est la première du genre à authentifier et accréditer les médecins en temps réel. Notre technologie de pointe fonctionne en coulisse, validant à nouveau les médecins à chaque fois qu'ils se connectent, garantissant que seuls les médecins peuvent devenir membres.
Eh bien, en fait, c'était incroyablement facile. Tellement facile qu'en 5 minutes, quelqu'un qui n'était pas médecin l'a fait. Et si par hasard ils clôturent le compte que mon ami a créé, il peut créer un nouveau compte médecin dans 5 minutes supplémentaires. Parce que le processus d'authentification de Sermo est fondamentalement imparfait (nous ne vous dirons pas comment il l'a fait, alors ne demandez pas), la seule solution à long terme à ce problème est de demander aux inscrits des informations encore plus personnellement identifiables (ce que beaucoup de gens n'aime pas abandonner, comme son numéro de sécurité sociale), ou appeler chaque personne qui s'inscrit pour vérifier qu'elle est bien celle qu'elle prétend être.
Nous sommes tous pour les communautés de médecins fermées - nous pensons qu’elles ont un énorme potentiel. Mais nous espérons que ces communautés placent vraiment les meilleurs intérêts de leurs membres en matière de confidentialité et de sécurité avant la «facilité d'utilisation» et les inscriptions rapides. Nous espérons également que les VC feront vraiment un peu plus de diligence raisonnable avant de dépenser leur argent dans le dernier / le plus grand «réseau social», car ce sont précisément les entreprises qui coupent les coins en matière de sécurité qui peuvent la ruiner pour les futures startups dans des espaces similaires .
Nous avons contacté Sermo à propos de ce problème et découvert qu'un jour avant de commencer à enquêter sur cette faille de sécurité (vendredi), MedGadget avait déjà découvert et publié son point de vue à ce sujet. Leur méthode était légèrement différente de celle de notre consultant, qui a simplement deviné le bon numéro DEA (car vous obtenez 3 essais sur 6 nombres possibles). Bien sûr, la publication de Medgadget rend les choses encore plus faciles.
Un porte-parole de Sermo a répondu à nos demandes avec,
Sermo effectue une rotation des questions d'authentification et DEA n'est pas le seul élément que nous utilisons. Néanmoins, nous prendrons des mesures supplémentaires pour résoudre ce problème. Hélas, lorsque vous devenez la plus grande communauté de médecins en ligne de tous les temps, les gens commencent à définir leurs sites sur vous.
Vrai vrai. Mais si vous voulez gagner la confiance d’un professionnel en mettant l’accent sur la «sécurité» de votre communauté, vous devez être prêt à respecter vos pratiques d’enregistrement actuelles. Le fait que leur enregistrement soit si facile à jouer à l'heure actuelle signifie que leur communauté est moins que sécurisée.
Sermo nous a également rappelé que l'usurpation de l'identité d'un médecin est une infraction fédérale. Nous serions ravis de voir quel montant de ressources fédérales serait dépensé pour lutter contre les contrevenants de Sermo. Sermo ne peut compter que sur Sermo pour faire respecter le modèle de sécurité de Sermo.
Sermo affirme qu'elle compte aujourd'hui 30 000 médecins membres. Nous nous demandons combien d'entre eux sont vraiment des médecins?
