A Sermo 9 millió dolláros gyenge biztonsági modellje

Az orvostársadalomban meglehetősen sok hangzavar hallatszott a Sermo nevű, kizárólag orvosok számára létrehozott közösségről (vagy ha úgy tetszik „közösségi hálózatról”). Kíváncsi voltam arra, hogy milyen erős volt a regisztrációs rendszerük, hogy megakadályozzák a nem orvosokat abban, hogy előfizetjenek a szolgáltatásra, amely ingyenes és nyitva áll minden orvos számára, aki rendelkezik M.D. vagy D.O. (és egy DEA előírási szám). Ezért megkértem egy technológiai és biztonsági tanácsadó barátomat, hogy ellenőrizze.

Megállapításai nem leptek meg. Öt percbe telt, és csak ketten próbálnak érvényes orvosi fiókot regisztrálni a Sermóban, annak ellenére, hogy nem orvos. Az interneten szabadon hozzáférhető információkat felhasználta arra, hogy törvényes orvosként regisztrálja magát. Készített néhány képernyőfelvételt, hogy megmutassa nekem a sikerét:

Úgy tűnik, hogy a probléma hagyományos kérdés a „könnyű használat” és a „szigorú biztonság” kereskedése között. A legjobb és legszorosabb biztonság az lenne, ha minden egyes regisztrációt manuálisan ellenőriznének egy emberi telefonhívással. Ehhez persze pénzre és munkaerőre lenne szükség, amivel sok startup nem rendelkezik.

De a Sermo nem tudja felhasználni ezt a kifogást, mivel most lezárta a VC finanszírozás újabb körét a 26,7 millió dolláros tartományban (a már megszerzett meglévő 9 millió dollár mellett). Tehát az orvos tagjaik integritásának védelme érdekében a lehető legerősebb biztonság az, ha minden tagot manuálisan ellenőriznek, de mégsem. Amikor zárt közösségük biztonságáról van szó, a Sermo GYIK-je csak ezt mondja:

Honnan tudom, hogy a Sermo tagjai valóban MD-k?

A Sermo-hoz csatlakozni nem könnyű. Valójában a Sermo technológia az első a maga nemében, amely valós időben hitelesíti és hitelesíti az orvosokat. A legmodernebb technológiánk a kulisszák mögött dolgozik, minden alkalommal, amikor bejelentkeznek, újraértékelik az orvosokat, biztosítva, hogy csak orvosok lehessenek tagjai.

Nos, valójában hihetetlenül könnyű volt. Olyan egyszerű, hogy 5 percen belül valaki, aki nem orvos volt, megcsinálta. És ha véletlenül bezárják a barátom által létrehozott fiókot, újabb 5 perc alatt új orvos-fiókot hozhat létre. Mivel Sermo hitelesítési folyamata alapvetően hibás (nem áruljuk el, hogyan csinálta, ezért ne kérdezzen), a probléma egyetlen hosszú távú megoldása az, hogy a regisztrálóktól még személyesen azonosíthatóbb információkat kérnek (sok ember megtöm) nem szeret lemondani, például a társadalombiztosítási számuk), vagy felhívni minden regisztráló személyt, hogy ellenőrizze, ki az, akinek mondja magát.

Mindannyian a zárt orvosközösségek mellett állunk - szerintünk óriási potenciállal rendelkeznek. De reméljük, hogy az ilyen közösségek valóban a „magánhasználat” és a gyors regisztráció fölé helyezik tagjaik személyes adatvédelmi és biztonsági érdekeit. Reméljük azt is, hogy a kockázatitőke-társaságok valóban egy kicsit szigorúbb gondossággal járnak el, mielőtt a pénzüket a legújabb / legnagyobb „közösségi hálózathoz” fordítanák, mert pontosan azok a vállalatok, amelyek átvágják a biztonság sarkát, tönkretehetik a jövőbeni, hasonló helyeken működő startupok számára .

Megkerestük a Sermo-t ebben a kérdésben, és felfedeztük, hogy egy nappal azelőtt, hogy elkezdtük volna kivizsgálni ezt a biztonsági lyukat (pénteken), a MedGadget már felfedezte és közzétette véleményét. Módszerük némileg különbözött tanácsadónk módszerétől, aki egyszerűen kitalálta a helyes DEA számot (mert 3 lehetséges próbát kap a 6 lehetséges számból). Természetesen Medgadget bejegyzése még könnyebbé teszi.

A Sermo szóvivője a következő kérdéssel válaszolt kérdéseinkre:

A Sermo valójában forgatja a hitelesítési kérdéseket, és nem a DEA az egyetlen elem, amelyet használunk. Ennek ellenére további lépéseket fogunk tenni ennek megoldására. Sajnos, amikor valaha a legnagyobb online orvos közösséggé válsz, az emberek elkezdik rád irányítani a webhelyeiket.

Igaz igaz. De ha el akarja nyerni a szakemberek bizalmát, hangsúlyozva, hogy mennyire „biztonságos” a közösség, akkor fel kell készülnie arra, hogy kiálljon a jelenlegi regisztrációs gyakorlat mellett. Az a tény, hogy a regisztrációjukat olyan könnyű játszani, jelenleg azt jelenti, hogy közösségük kevésbé biztonságos.

Sermo arra is emlékeztetett minket, hogy az orvos megszemélyesítése szövetségi bűncselekmény. Örömmel látnánk, hogy mekkora összegű szövetségi forrást fordítanának a Sermo szabálysértők után. A Sermo csak a Sermóra támaszkodhat a Sermo biztonsági modelljének fenntartásában.

A Sermo állítása szerint ma 30 000 orvos tagja van. Kíváncsi vagyunk, hányan közülük valóban orvosok?