Model Keselamatan Lemah $ 9M Sermo

Dalam komuniti doktor, terdapat banyak keributan mengenai komuniti doktor sahaja (atau "rangkaian sosial," jika anda suka) yang disebut Sermo. Saya ingin tahu betapa kuatnya sistem pendaftaran mereka untuk mengelakkan orang bukan doktor berlangganan perkhidmatan ini, yang percuma dan terbuka untuk semua doktor yang mempunyai M.D. atau D.O. (dan nombor penetapan DEA). Oleh itu, saya meminta rakan perunding teknologi dan keselamatan untuk memeriksanya.

Penemuannya tidak mengejutkan saya. Dia mengambil masa lima minit dan hanya dua percubaan untuk mendaftarkan akaun doktor yang sah di Sermo, walaupun dia bukan doktor. Dia menggunakan maklumat yang tersedia secara bebas di Internet untuk mendaftar sebagai seseorang yang merupakan doktor yang sah. Dia mengambil beberapa tangkapan skrin untuk menunjukkan kejayaannya kepada saya:

Masalahnya nampaknya merupakan masalah tradisional antara menukar "kemudahan penggunaan" dengan "keselamatan ketat". Keselamatan yang terbaik dan ketat adalah dengan mengesahkan setiap pendaftaran secara manual dengan panggilan telefon manusia. Tetapi, tentu saja, ini memerlukan wang dan tenaga kerja, sesuatu yang tidak dimiliki oleh banyak pemula.

Tetapi Sermo tidak dapat menggunakan alasan itu, kerana ia baru saja berakhir pada satu lagi pembiayaan VC dalam julat $ 26.7 juta (di atas $ 9 juta yang sudah mereka kumpulkan). Jadi keselamatan terkuat yang mungkin untuk melindungi integriti anggota doktor mereka adalah dengan mengesahkan setiap anggota secara manual, namun tidak. Mengenai keselamatan komuniti tertutup mereka, Soalan Lazim Sermo hanya mengatakan:

Bagaimana saya tahu bahawa ahli Sermo benar-benar MD?

Bergabung dengan Sermo bukanlah sesuatu yang mudah. Sebenarnya, teknologi Sermo adalah yang pertama seumpamanya untuk mengesahkan dan mempercayai doktor secara real-time. Teknologi canggih kami berfungsi di belakang tabir, mengesahkan semula doktor setiap kali mereka masuk, memastikan hanya doktor yang dapat menjadi ahli.

Sebenarnya, ia sangat mudah. Sangat mudah sehingga dalam masa 5 minit, seseorang yang bukan doktor berjaya melakukannya. Dan jika secara kebetulan mereka menutup akaun yang dibuat oleh rakan saya, dia dapat membuat akaun doktor baru dalam 5 minit lagi. Oleh kerana proses pengesahan Sermo pada dasarnya cacat (kami tidak akan memberitahu anda bagaimana dia melakukannya, jadi jangan tanya), satu-satunya penyelesaian jangka panjang untuk masalah ini adalah meminta pendaftar untuk mendapatkan maklumat yang lebih dikenali secara peribadi (banyak orang tidak mahu menyerah, seperti nombor keselamatan sosial mereka), atau memanggil setiap orang yang mendaftar untuk mengesahkan bahawa mereka adalah siapa yang mereka katakan.

Kami semua untuk komuniti doktor tertutup - kami fikir mereka mempunyai potensi besar. Tetapi kami berharap bahawa komuniti seperti itu benar-benar meletakkan kepentingan privasi dan keselamatan terbaik anggota mereka daripada "kemudahan penggunaan" dan pendaftaran cepat. Kami juga berharap bahawa VC benar-benar melakukan usaha yang lebih gigih sebelum memasukkan wang mereka ke dalam apa sahaja "rangkaian sosial" terbaru / terhebat, kerana syarikat-syarikat yang betul-betul memotong keselamatan yang boleh merosakkannya untuk pemula di masa depan di ruang yang sama .

Kami menghubungi Sermo mengenai masalah ini dan mendapati bahawa sehari sebelum kami mula menyiasat lubang keselamatan ini (Jumaat), MedGadget telah menemui dan menerbitkan pendapat mereka. Kaedah mereka sedikit berbeza daripada kaedah perunding kami, yang hanya meneka nombor DEA yang betul (kerana anda mendapat 3 percubaan daripada 6 nombor yang mungkin). Sudah tentu, catatan Medgadget menjadikannya lebih mudah.

Jurucakap Sermo membalas pertanyaan kami dengan,

Sermo sebenarnya memutarkan soalan pengesahan dan DEA bukan satu-satunya item yang kami gunakan. Walaupun begitu, kami akan mengambil langkah tambahan untuk mengatasi hal ini. Malangnya, apabila anda menjadi komuniti doktor dalam talian terbesar, orang mula memasang laman web mereka kepada anda.

Betul betul. Tetapi jika anda ingin mendapatkan kepercayaan profesional dengan menekankan seberapa "aman" komuniti anda, anda harus bersedia untuk mengikuti amalan pendaftaran anda sekarang. Hakikat bahawa pendaftaran mereka sangat mudah untuk dimainkan pada masa ini bermakna komuniti mereka kurang selamat.

Sermo juga mengingatkan kita bahawa menyamar sebagai doktor adalah kesalahan persekutuan. Kami ingin melihat berapa banyak sumber persekutuan yang akan dikeluarkan untuk mengejar pelanggar Sermo. Sermo hanya boleh bergantung pada Sermo untuk menegakkan model keselamatan Sermo.

Sermo mendakwa ia mempunyai 30,000 ahli perubatan hari ini. Kami tertanya-tanya, berapa banyak dari mereka yang benar-benar doktor?