世界・オブ・心理学ブログ

Sermoの900万ドルの弱いセキュリティモデル

医師のコミュニティでは、Sermoと呼ばれる医師専用のコミュニティ（または、必要に応じて「ソーシャルネットワーク」）についてかなりの話題があります。私は、彼らの登録システムが、医師以外の人がこのサービスに加入するのを防ぐのにどれほど強力であるかについて興味を持っていました。このサービスは、M.D。またはD.O.のいずれかを持つすべての医師が無料で利用できます。（およびDEA処方番号）。それで、私は私の技術とセキュリティコンサルタントの友人にそれをチェックするように頼みました。

彼の発見は私を驚かせませんでした。彼は5分かかりましたが、彼は医師ではありませんが、Sermoで有効な医師アカウントを登録しようとしたのは2回だけでした。彼はインターネット上で自由に入手できる情報を使用して、正当な医師であった人として登録しました。彼は私に彼の成功を示すためにいくつかのスクリーンショットを撮りました：

この問題は、「使いやすさ」と「厳格なセキュリティ」のトレードオフの間の伝統的な問題のようです。最善かつ最も厳格なセキュリティは、人間の電話を使用してすべての登録を手動で確認することです。しかし、もちろん、これには多くの新興企業にはない、お金と人材が必要になります。

しかし、Sermoはその言い訳を使うことはできません。これは、2670万ドルの範囲でさらに別のVCの資金調達が終了したためです（すでに調達した既存の900万ドルに加えて）。したがって、医師メンバーの完全性を保護するために可能な最も強力なセキュリティは、各メンバーを手動で検証することですが、そうではありません。閉じたコミュニティのセキュリティに関しては、SermoのFAQは次のように述べています。

Sermoのメンバーが本当にMDであることをどうやって知るのですか？
Sermoへの参加は簡単ではありません。実際、Sermoテクノロジーは、医師をリアルタイムで認証および認定する、この種の最初のテクノロジーです。私たちの最先端のテクノロジーが舞台裏で働いており、サインインするたびに医師を再検証し、医師のみがメンバーになることができるようにします。

まあ、実際には、それは信じられないほど簡単でした。 5分以内に、医者ではない人がやったほど簡単です。そして、偶然に私の友人が作成したアカウントを彼らが閉鎖した場合、彼はさらに5分で新しい医師のアカウントを作成できます。 Sermoの認証プロセスには根本的な欠陥があるため（どのようにしたかは明かさないので、尋ねないでください）、この問題に対する唯一の長期的な解決策は、さらに個人を特定できる情報（多くの人のもの）を登録者に求めることです彼らの社会保障番号のように、あきらめたり、登録した人に電話をかけて、本人であることを確認しません。

私たちは皆、閉じた医師のコミュニティのためのものです。私たちは、彼らに大きな可能性があると考えています。しかし、そのようなコミュニティが、メンバーのプライバシーとセキュリティへの関心を「使いやすさ」と迅速な登録よりも上に置くことを期待しています。また、VCは、最新の/最も大きな「ソーシャルネットワーク」にお金を投じる前に、もう少しハードなデューデリジェンスを実際に行うことを望みます。。

この問題についてSermoに問い合わせたところ、このセキュリティホールの調査を開始する前の日（金曜日）に、MedGadgetがすでにその見解を発見して公開していることがわかりました。彼らの方法は、正しいDEA番号で単純に推測したコンサルタントの方法とは少し異なりました（6つの可能な番号から3回の試行があるため）。もちろん、Medgadgetの投稿はそれをさらに簡単にします。

Sermoのスポークスパーソンが私たちの問い合わせに返信しました、