Я шмат пішу пра выяўленне свабодна даступных баз дадзеных практычна ва ўсіх краінах свету, але навін пра расейскія базы дадзеных, пакінутыя ў адкрытым доступе амаль няма. Хаця нядаўна і пра «руку Крамля», якую з перапуду выявіў галандскі даследнік у больш за 2000 адкрытых базах дадзеных.
Можа скласціся няправільнае ўяўленне, што ў Расіі ўсё выдатна і ўладальнікі буйных расійскіх анлайн-праектаў падыходзяць адказна да захоўвання дадзеных карыстальнікаў. Спяшаюся развянчаць гэты міф на дадзеным прыкладзе.
Расійскі медыцынскі анлайн-сэрвіс DOC+ мяркуючы па ўсім, прымудрыўся пакінуць у адкрытым доступе базу дадзеных ClickHouse з логамі доступу. Нажаль, логі выглядаюць настолькі дэталёвымі, што верагоднай уцечцы маглі падвергнуцца персанальныя дадзеныя супрацоўнікаў, партнёраў і кліентаў сэрвісу.
Пра ўсё па парадку...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Са мной, як з уладальнікам Telegram-канала», на сувязь выйшаў чытач канала, які пажадаў застацца невядомым і паведаміў літаральна наступнае:
У інтэрнэце быў знойдзены адкрыты ClickHouse сервер, які належыць кампаніі doc+. IP-адрас сервера супадае з IP-адрасам, на які наладжаны дамен docplus.ru.
З пляцоўкі: DOC+ (ТАА «Новая Медыцына») гэта расійская медыцынская кампанія, якая аказвае паслугі ў галіне тэлемедыцыны, выкліку ўрача на дом, захоўвання і апрацоўкі персанальных медыцынскіх дадзеных. Кампанія атрымала інвестыцыі ад Яндэкса.
Мяркуючы па сабранай інфармацыі, база ClickHouse сапраўды была свабодна даступная, і хто заўгодна, ведаючы IP-адрас мог атрымаць з яе дадзеныя. Гэтымі дадзенымі, як мяркуецца, аказаліся логі доступу да сэрвісу.
Як відаць з карцінкі вышэй, акрамя вэб-сервера www.docplus.ru і сервера ClickHouse (порт 9000), на тым жа IP-адрасе "вісіць" адкрытая насцеж база MongoDB (у якой, мяркуючы па ўсім, нічога цікавага няма).
Наколькі мне вядома, для выяўлення сервера ClickHouse выкарыстоўваўся пошукавік Shodan.io (пра тое, я пісаў асобна) у звязку са спецыяльным скрыптам , які праверыў знойдзеную базу на адсутнасць аўтэнтыфікацыі і пералічыў усе яе табліцы. На той момант іх быццам бы аказалася 474.
З дакументацыі вядома, што па змаўчанні, сервер ClickHouse слухае HTTP на 8123 порце. Таму, каб паглядзець, што ж змяшчаецца ў табліцах, дастаткова выканаць прыкладна такі SQL-запыт:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]У выніку выканання запыту магло вярнуцца верагодна тое, што паказана на скрыншоце ніжэй:
Са скрыншота зразумела, што інфармацыя ў полі ЗАГАЛКІ змяшчае дадзеныя аб месцазнаходжанні (шырыню і даўгату) карыстальніка, яго IP-адрас, інфармацыю аб прыладзе, з якога ён падключаўся да сэрвісу, версію АС і да т.п.
Калі б камусьці прыйшло ў галаву крыху мадыфікаваць SQL-запыт, напрыклад, так:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
то магло б вярнуцца нешта падобнае на персанальныя дадзеныя супрацоўнікаў, а менавіта: Прозвішча, імя, даты нараджэння, пол, ІНАЎ, адрасы прапіскі і фактычнага месца пражывання, тэлефоны, пасады, адрасы электроннай пошты і многае іншае:
Уся гэтая інфармацыя са скрыншота вышэй вельмі падобная на дадзеныя аддзела кадраў з 1С: Прадпрыемства 8.3.
Прыгледзеўшыся да параметру API_USER_TOKEN можна падумаць, што гэта "працоўны" токен з дапамогай якога можна выконваць розныя дзеянні ад імя карыстальніка - у тым ліку атрымліваць яго асабістыя дадзеныя. Але сцвярджаць я гэтага, вядома, не магу.
На дадзены момант няма інфармацыі аб тым, што сервер ClickHouse па-ранейшаму свабодна даступны па тым жа IP-адрасу.
Крыніца: habr.com