Mən dünyanın demək olar ki, bütün ölkələrində sərbəst istifadə edilə bilən verilənlər bazalarının kəşfi haqqında çox yazıram, lakin ictimai sahədə Rusiya məlumat bazaları haqqında demək olar ki, heç bir xəbər qalmayıb. Bu yaxınlarda olsa da Hollandiyalı tədqiqatçının 2000-dən çox açıq verilənlər bazasında kəşf etməkdən qorxduğu “Kreml əli” haqqında.
Rusiyada hər şeyin əla olduğu və böyük rus onlayn layihələrinin sahiblərinin istifadəçi məlumatlarının saxlanmasına məsuliyyətlə yanaşdıqları barədə yanlış fikir ola bilər. Mən bu misaldan istifadə edərək bu mifi ifşa etməyə tələsirəm.
Rusiyanın onlayn tibbi xidməti DOC+, yəqin ki, ClickHouse verilənlər bazasını ictimaiyyətə açıq olan giriş qeydləri ilə tərk etməyi bacarıb. Təəssüf ki, qeydlər o qədər təfərrüatlı görünür ki, xidmətin əməkdaşlarının, tərəfdaşlarının və müştərilərinin şəxsi məlumatları sızdırıla bilərdi.
İlk şeylər ilk...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Telegram kanalının sahibi kimi mənimlə "", adının açıqlanmasını istəməyən kanal oxucusu əlaqə saxlayıb və sözün əsl mənasında aşağıdakıları bildirdi:
İnternetdə doc+ şirkətinə məxsus açıq ClickHouse serveri aşkar edilib. Server IP ünvanı docplus.ru domeninin konfiqurasiya edildiyi IP ünvanına uyğun gəlir.
Vikipediya: DOC+ (New Medicine MMC) teletibb, evdə həkim çağırmaq, saxlama və emal sahəsində xidmətlər göstərən Rusiya tibb şirkətidir. şəxsi tibbi məlumatlar. Şirkət Yandex-dən investisiyalar aldı.
Toplanmış məlumatlara əsasən, ClickHouse verilənlər bazası həqiqətən də sərbəst şəkildə əldə edilə bilərdi və IP ünvanını bilən hər kəs ondan məlumat əldə edə bilərdi. Bu məlumatların xidmətə giriş qeydləri olduğu ortaya çıxdı.
Yuxarıdakı şəkildən göründüyü kimi, www.docplus.ru veb serverinə və ClickHouse serverinə (port 9000) əlavə olaraq, MongoDB verilənlər bazası eyni IP ünvanında (görünür, heç bir şey yoxdur) açıq şəkildə asılıb. maraqlıdır).
Bildiyimə görə, Shodan.io axtarış sistemindən ClickHouse serverini tapmaq üçün istifadə edilib (təxminən ayrıca yazdım) xüsusi ssenari ilə birlikdə , tapılmış verilənlər bazasını autentifikasiya olmaması üçün yoxladı və bütün cədvəllərini sadaladı. O zaman onların 474 nəfəri var idi.
Sənədlərdən bilirik ki, standart olaraq ClickHouse server 8123 portunda HTTP-yə qulaq asır. Buna görə də, cədvəllərdə nələrin olduğunu görmək üçün bu SQL sorğusunu işə salmaq kifayətdir:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Sorğunun icrası nəticəsində, ehtimal ki, geri qaytarıla bilən şey aşağıdakı ekran görüntüsündə göstərilmişdir:
Ekran görüntüsündən aydın olur ki, sahədəki məlumatlar BAŞLIQLAR istifadəçinin yeri (enlem və uzunluq), onun IP ünvanı, xidmətə qoşulduğu cihaz haqqında məlumat, OS versiyası və s.
SQL sorğusunu bir az dəyişdirmək kiminsə ağlına gəldisə, məsələn, bu kimi:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
sonra işçilərin şəxsi məlumatlarına bənzər bir şey qaytarıla bilər, yəni: tam adı, doğum tarixi, cinsi, vergi identifikasiya nömrəsi, qeydiyyat və faktiki yaşayış yeri ünvanları, telefon nömrələri, vəzifələr, e-poçt ünvanları və daha çox:
Yuxarıdakı ekran görüntüsündəki bütün bu məlumatlar 1C: Enterprise 8.3-dən HR məlumatlarına çox bənzəyir.
Parametrə daha yaxından nəzər salaq API_USER_TOKEN bunun istifadəçi adından müxtəlif hərəkətləri, o cümlədən şəxsi məlumatlarını əldə edə biləcəyiniz "işləyən" bir işarə olduğunu düşünə bilərsiniz. Amma təbii ki, bunu deyə bilmərəm.
Hal-hazırda ClickHouse serverinin eyni IP ünvanında hələ də sərbəst şəkildə əldə edilə biləcəyi barədə məlumat yoxdur.
Mənbə: www.habr.com