国家卫生计生委医师定期考核信息登记管理系统:当以卫生机构身份登录时,用户名默认为机构名称的拼音首字母,密码竟然是123456,以此为基础,可以大量猜解卫生机构的帐号密码,导致泄漏大量医生的姓名、身份证号、资格证书、执业证书、联系方式等信息。本人亲测了286家卫生机构且都已进入系统。
国家卫生计生委医师定期考核信息登记管理系统URL:http://dqkh.cmda.org.cn/
用户类型选择“卫生机构”:
【举例】北滘医院,用户名:bjyy 密码:123456
点击总人数查看医生列表:
【拥有的权限】
【查看或修改医生信息】
【还可以添加审核员、添加医生用户、添加科室等】:
【可以修改医生用户名,重置医生密码】
恶意重置医生密码后导致可以非法登入另外一个系统 全国医师定期考核考试平台:
URL:http://exam.cmda.org.cn/Login/Login.aspx
因为需要重置密码等操作,这里不进一步测试。
再附几个其他机构测试图:
【山西省委党校卫生所】:
sxswdxwss 123456
【山西省太原市精神病院】:
sxstysjsbyy 123456
下面抛出本人测试的卫生机构【共计286家,涉及1886名医生】
这里【说明】一下,截至2004年12月31日,全国县级以上行政区划共有:23个省,5个自治区,4个直辖市,2个特别行政区;50个地区(州、盟);661个市,其中:直辖市4个;地级市283个;县级市374个;1636个县(自治县、旗、自治旗、特区和林区);852个市辖区。总计:省级34个,地级333个,县级2862个。
可想而知猜解出更多的全国卫生机构帐号密码只是时间问题,这将会导致更大规模的医生信息泄漏。
而这里本人主要测试了【山西太原】地区的卫生机构(本人与太原有不能说的情结),全国其他地区的卫生机构没有进一步测试(分4列,分别是机构名称、用户名、密码、医师人数统计):
光太原地区共计1886名医生信息。其他地区的卫生机构帐号密码猜解应该只是时间问题。