Ek skryf baie oor die ontdekking van vrylik toeganklike databasisse in byna alle lande van die wêreld, maar daar is amper geen nuus oor Russiese databasisse in die publieke domein oor nie. Alhoewel onlangs oor die "hand van die Kremlin", wat 'n Nederlandse navorser bang was om in meer as 2000 XNUMX oop databasisse te ontdek.
Daar is dalk 'n wanopvatting dat alles wonderlik is in Rusland en die eienaars van groot Russiese aanlynprojekte volg 'n verantwoordelike benadering tot die stoor van gebruikersdata. Ek haas om hierdie mite te ontmasker deur hierdie voorbeeld te gebruik.
Die Russiese aanlyn mediese diens DOC+ het blykbaar daarin geslaag om die ClickHouse-databasis te verlaat met toegangslogboeke wat publiek beskikbaar is. Ongelukkig lyk die logs so gedetailleerd dat persoonlike data van werknemers, vennote en kliënte van die diens kon uitgelek het.
Eerste dinge eerste...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Saam met my, as die eienaar van die Telegram-kanaal "", het 'n kanaalleser wat anoniem wou bly kontak gemaak en letterlik die volgende berig:
'n Oop ClickHouse-bediener is op die internet ontdek, wat aan die maatskappy doc+ behoort. Die bediener-IP-adres pas by die IP-adres waarop die docplus.ru-domein opgestel is.
Vanaf Wikipedia: DOC+ (New Medicine LLC) is 'n Russiese mediese maatskappy wat dienste lewer op die gebied van telemedisyne, 'n dokter by die huis skakel, berging en verwerking persoonlike mediese data. Die maatskappy het beleggings van Yandex ontvang.
Te oordeel aan die inligting wat ingesamel is, was die ClickHouse-databasis inderdaad vryelik toeganklik, en enigiemand wat die IP-adres ken, kon data daaruit verkry. Hierdie data het vermoedelik geblyk dienstoeganglogboeke te wees.
Soos u uit die prentjie hierbo kan sien, hang die MongoDB-databasis, benewens die www.docplus.ru-webbediener en die ClickHouse-bediener (poort 9000), wawyd oop aan dieselfde IP-adres (waarin daar blykbaar niks is nie) interessant).
Sover ek weet, is die Shodan.io-soekenjin gebruik om die ClickHouse-bediener (ongeveer Ek het apart geskryf) in samewerking met 'n spesiale skrif , wat die gevind databasis nagegaan het vir 'n gebrek aan verifikasie en al sy tabelle gelys het. Op daardie stadium het dit gelyk of daar 474 van hulle was.
Uit die dokumentasie weet ons dat die ClickHouse-bediener by verstek na HTTP op poort 8123 luister. Daarom, om te sien wat in die tabelle vervat is, is dit genoeg om iets soos hierdie SQL-navraag uit te voer:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]As gevolg van die uitvoering van die versoek, wat waarskynlik teruggestuur kan word, is wat in die skermkiekie hieronder aangedui word:
Uit die kiekie is dit duidelik dat die inligting in die veld OPSKRIFTE bevat data oor die ligging (breedtegraad en lengtegraad) van die gebruiker, sy IP-adres, inligting oor die toestel waarvandaan hy aan die diens gekoppel het, OS-weergawe, ens.
As dit by iemand opgekom het om die SQL-navraag effens te verander, byvoorbeeld, soos volg:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
dan kan iets soortgelyk aan die persoonlike data van werknemers teruggestuur word, naamlik: volle naam, geboortedatum, geslag, belastingidentifikasienommer, registrasie- en werklike woonplekadresse, telefoonnommers, posisies, e-posadresse en nog baie meer:
Al hierdie inligting van die skermkiekie hierbo stem baie ooreen met die HR-data van 1C: Enterprise 8.3.
Kyk na die parameter van naderby API_USER_TOKEN jy mag dalk dink dat dit 'n "werkende" teken is waarmee jy verskeie aksies namens die gebruiker kan uitvoer, insluitend die verkryging van sy persoonlike data. Maar ek kan dit natuurlik nie sê nie.
Op die oomblik is daar geen inligting dat die ClickHouse-bediener steeds vryelik toeganklik is by dieselfde IP-adres nie.
Bron: will.com