فحص اختراق لمستشفى متعدد التخصصات
كشف 23 ثغرة منها 4 حرجة قبل إطلاق المنصة الطبية
- العميل
- Riyali Health
- السنة
- 2025
- المدة
- 3 أسابيع
- الفريق
- 3 باحثين أمنيين
Riyali Health كانت على وشك إطلاق منصة سجلات طبية إلكترونية تخدم 12 مستشفى. طلبوا فحصاً أمنياً شاملاً قبل الإطلاق. اكتشفنا 23 ثغرة، 4 منها حرجة، وقدّمنا خطة إصلاح كاملة. كل الثغرات أُصلحت في 14 يوماً.
التحدّي
البيانات الطبية أعلى مستويات الحساسية. ثغرة واحدة قد تعني تسريب سجلات 180 ألف مريض وغرامات بالملايين. كان لا بد من فحص شامل قبل الإطلاق، مع وضع كل شيء تحت المجهر.
النتيجة
كل الثغرات الحرجة وعالية الخطورة أُصلحت قبل الإطلاق. المنصة تخدم اليوم 180 ألف مريض بدون أي حادثة أمنية. حصلت Riyali Health على شهادة من وزارة الصحة السعودية للتعامل مع البيانات الحساسة.
نهجنا
- 01
أسبوع 1: Reconnaissance + رسم خريطة الهجمات (Attack surface mapping)
- 02
أسبوع 2: فحص يدوي للـ business logic + APIs + auth flows
- 03
أسبوع 3: فحص آلي بـ Burp Suite Enterprise + Nuclei + اختبارات الـ access control
- 04
تقرير CVSS كامل مع PoC لكل ثغرة + توصيات إصلاح خطوة بخطوة
- 05
جلسة 3 ساعات مع فريقهم الهندسي لشرح كل ثغرة
- 06
إعادة فحص مجاناً بعد الإصلاح (وجدنا regression واحدة)
“اختبار اختراق احترافي لشبكة المستشفى. كشفوا 4 ثغرات حرجة كنا غافلين عنها. مهنيتهم تستحق كل ريال.”