أكتب كثيرًا عن اكتشاف قواعد البيانات التي يمكن الوصول إليها مجانًا في جميع دول العالم تقريبًا، ولكن لا توجد أخبار تقريبًا عن قواعد البيانات الروسية المتبقية في المجال العام. على الرغم من أنه في الآونة الأخيرة عن "يد الكرملين"، التي كان باحث هولندي يخشى اكتشافها في أكثر من 2000 قاعدة بيانات مفتوحة.
قد يكون هناك اعتقاد خاطئ بأن كل شيء على ما يرام في روسيا وأن أصحاب المشاريع الروسية الكبيرة عبر الإنترنت يتخذون نهجًا مسؤولاً لتخزين بيانات المستخدم. أسارع إلى فضح هذه الأسطورة باستخدام هذا المثال.
يبدو أن الخدمة الطبية الروسية عبر الإنترنت DOC+ تمكنت من ترك قاعدة بيانات ClickHouse مع إتاحة سجلات الوصول للعامة. ولسوء الحظ، تبدو السجلات مفصلة للغاية لدرجة أنه من الممكن أن يتم تسريب البيانات الشخصية للموظفين والشركاء وعملاء الخدمة.
اهم الاشياء اولا...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
معي بصفتي مالك قناة التليجرام ""، تواصل معنا أحد قراء القناة، الذي أراد عدم الكشف عن هويته، وأبلغنا بما يلي حرفيًا:
تم اكتشاف خادم ClickHouse مفتوح على شبكة الإنترنت تابع لشركة doc+. يتطابق عنوان IP الخاص بالخادم مع عنوان IP الذي تم تكوين المجال docplus.ru عليه.
من ويكيبيديا: DOC+ (New Medicine LLC) هي شركة طبية روسية تقدم خدمات في مجال التطبيب عن بعد، واستدعاء الطبيب في المنزل، والتخزين والمعالجة البيانات الطبية الشخصية. تلقت الشركة استثمارات من Yandex.
انطلاقًا من المعلومات التي تم جمعها، كان الوصول إلى قاعدة بيانات ClickHouse مجانيًا بالفعل، ويمكن لأي شخص يعرف عنوان IP الحصول على البيانات منها. من المفترض أن تكون هذه البيانات عبارة عن سجلات وصول إلى الخدمة.
كما ترون من الصورة أعلاه، بالإضافة إلى خادم الويب www.docplus.ru وخادم ClickHouse (المنفذ 9000)، فإن قاعدة بيانات MongoDB معلقة مفتوحة على مصراعيها على نفس عنوان IP (حيث، على ما يبدو، لا يوجد شيء مثير للاهتمام).
وبقدر ما أعرف، تم استخدام محرك البحث Shodan.io لاكتشاف خادم ClickHouse (حوالي كتبت بشكل منفصل) بالتزامن مع نص خاص ، الذي فحص قاعدة البيانات الموجودة لعدم وجود مصادقة وأدرج جميع جداولها. في ذلك الوقت بدا أن هناك 474 منهم.
نعلم من الوثائق أنه افتراضيًا، يستمع خادم ClickHouse إلى HTTP على المنفذ 8123. لذلك، لمعرفة ما هو موجود في الجداول، يكفي تشغيل شيء مثل استعلام SQL هذا:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]ونتيجة لتنفيذ الطلب، فإن ما يمكن إرجاعه على الأرجح هو ما هو موضح في لقطة الشاشة أدناه:
من لقطة الشاشة يتضح أن المعلومات موجودة في هذا المجال الرؤوس يحتوي على بيانات حول موقع المستخدم (خط العرض وخط الطول)، وعنوان IP الخاص به، ومعلومات حول الجهاز الذي اتصل منه بالخدمة، وإصدار نظام التشغيل، وما إلى ذلك.
إذا خطر ببال أحد أن يقوم بتعديل استعلام SQL قليلاً، على سبيل المثال، مثل هذا:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
ومن ثم يمكن إرجاع شيء مشابه للبيانات الشخصية للموظفين، وهي: الاسم الكامل وتاريخ الميلاد والجنس ورقم التعريف الضريبي وعناوين التسجيل ومكان الإقامة الفعلي وأرقام الهواتف والمناصب وعناوين البريد الإلكتروني وغير ذلك الكثير:
كل هذه المعلومات الواردة في لقطة الشاشة أعلاه تشبه إلى حد كبير بيانات الموارد البشرية من 1C: Enterprise 8.3.
إلقاء نظرة فاحصة على المعلمة API_USER_TOKEN قد تعتقد أن هذا رمز "عامل" يمكنك من خلاله تنفيذ إجراءات مختلفة نيابة عن المستخدم، بما في ذلك الحصول على بياناته الشخصية. لكن بالطبع لا أستطيع أن أقول هذا.
في الوقت الحالي، لا توجد معلومات تفيد بأن خادم ClickHouse لا يزال يمكن الوصول إليه بحرية على نفس عنوان IP.
المصدر: www.habr.com