Modelul de securitate slab de 9 milioane de dolari al lui Sermo

În comunitatea medicilor, a existat o mulțime de noutăți cu privire la o singură comunitate de medic (sau „rețea socială”, dacă preferați) numită Sermo. Am fost curios cu privire la cât de puternic a fost sistemul lor de înregistrare pentru a împiedica non-medicii să se aboneze la serviciu, care este gratuit și deschis tuturor medicilor care au fie un M.D., fie un D.O. (și un număr de prescriere DEA). Așa că am cerut unui prieten de-al meu consultant în tehnologie și securitate să o verifice.

Descoperirile sale nu m-au surprins. I-au trebuit cinci minute și doar două încercări de a înregistra un cont de medic valabil la Sermo, chiar dacă nu este medic. El a folosit informațiile disponibile gratuit pe internet pentru a se înregistra ca fiind un medic legitim. A făcut câteva capturi de ecran pentru a-mi arăta succesul:


Problema pare a fi o problemă tradițională între tranzacționarea „ușurinței de utilizare” cu „securitate strictă”. Cea mai bună și mai strânsă securitate ar fi verificarea manuală a fiecărei înregistrări cu un apel telefonic uman. Dar, desigur, acest lucru ar necesita bani și forță de muncă, lucru pe care mulți startup-uri nu îl au.

Dar Sermo nu poate folosi această scuză, întrucât tocmai a încheiat încă o rundă de finanțare VC în intervalul de 26,7 milioane de dolari (pe lângă cele existente de 9 milioane de dolari pe care le-au strâns deja). Așadar, cea mai puternică securitate posibilă pentru a proteja integritatea membrilor medicului lor este verificarea manuală a fiecărui membru, dar nu sunt. Când vine vorba de securitatea comunității lor închise, întrebările frecvente ale lui Sermo spun doar:

De unde știu că membrii Sermo sunt cu adevărat medici?

Alăturarea la Sermo nu este ușoară. De fapt, tehnologia Sermo este prima de acest gen care autentifică și acredită medicii în timp real. Tehnologia noastră de ultimă generație funcționează în culise, revalidând medicii de fiecare dată când se conectează, asigurându-se că numai medicii pot deveni membri.

De fapt, a fost incredibil de ușor. Atât de ușor încât în ​​5 minute, cineva care nu era medic a făcut-o. Și dacă întâmplător închid contul creat de prietenul meu, el poate crea un cont de medic nou în alte 5 minute. Deoarece procesul de autentificare al lui Sermo este fundamental defectuos (nu vă vom spune cum a făcut-o, așa că nu întrebați), singura soluție pe termen lung pentru această problemă este solicitarea solicitanților de înregistrare pentru informații și mai identificabile personal (chestii pentru mulți oameni nu le va plăcea să renunțe, cum ar fi numărul lor de securitate socială) sau să sune fiecare persoană care se înregistrează pentru a verifica dacă este cine spune.

Suntem cu toții pentru comunități de medici închise - credem că au un potențial enorm. Dar sperăm că astfel de comunități pun într-adevăr membrilor lor cele mai bune interese de confidențialitate și securitate deasupra „ușurinței de utilizare” și a înregistrărilor rapide. Sperăm, de asemenea, că VC-urile fac cu adevărat ceva mai multă diligență înainte de a-și plăti banii în orice „cea mai recentă / cea mai mare„ rețea socială ”, pentru că tocmai acele companii care au tăiat colțurile de securitate care o pot distruge pentru viitoarele startup-uri în spații similare .

Am luat legătura cu Sermo cu privire la această problemă și am descoperit că, cu o zi înainte să începem investigarea acestei găuri de securitate (vineri), MedGadget descoperise deja și publicase ideea lor. Metoda lor a fost ușor diferită de cea a consultantului nostru, care a ghicit pur și simplu numărul DEA corect (deoarece primiți 3 încercări din 6 numere posibile). Desigur, postarea lui Medgadget o face și mai ușoară.

Un purtător de cuvânt al Sermo a răspuns la întrebările noastre cu:

Sermo rotește de fapt întrebările de autentificare, iar DEA nu este singurul articol pe care îl folosim. Cu toate acestea, vom lua măsuri suplimentare pentru a aborda acest lucru. Din păcate, când devii cea mai mare comunitate de medici online, vreodată, oamenii încep să-și seteze site-urile pe tine.

Adevarat adevarat. Dar dacă doriți să câștigați încrederea unui profesionist subliniind cât de „sigură” este comunitatea dvs., ar trebui să fiți pregătiți să respectați practicile dvs. actuale de înregistrare. Faptul că înregistrarea lor este atât de ușor de jucat în prezent înseamnă că comunitatea lor este mai puțin sigură.

Sermo ne-a amintit, de asemenea, că imitarea unui medic este o infracțiune federală. Cu toate acestea, ne-ar plăcea să vedem ce sumă de resurse federale ar fi cheltuite pentru a merge după infractorii Sermo. Sermo se poate baza doar pe Sermo pentru a susține modelul de securitate al lui Sermo.

Sermo susține că are astăzi 30.000 de membri medic. Ne întrebăm câți dintre ei sunt cu adevărat medici?

!-- GDPR -->