Пиша много за откриването на свободно достъпни бази данни в почти всички страни по света, но в публичното пространство почти няма новини за руски бази данни. Макар и наскоро за „ръката на Кремъл“, която холандски изследовател беше уплашен да открие в повече от 2000 отворени бази данни.
Може да има погрешно схващане, че в Русия всичко е страхотно и собствениците на големи руски онлайн проекти подхождат отговорно към съхраняването на потребителски данни. Бързам да развенчая този мит с този пример.
Руската онлайн медицинска услуга DOC+ очевидно е успяла да остави публично достъпна базата данни ClickHouse с регистрационни файлове за достъп. За съжаление логовете изглеждат толкова подробни, че може да са изтекли лични данни на служители, партньори и клиенти на услугата.
Първо най-важното...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
С мен, като собственик на канала Telegram "“ се свърза читател на канала, който пожела да остане анонимен и съобщи буквално следното:
В интернет беше открит отворен сървър на ClickHouse, който принадлежи на компанията doc+. IP адресът на сървъра съвпада с IP адреса, на който е конфигуриран домейнът docplus.ru.
От Уикипедия: DOC+ (New Medicine LLC) е руска медицинска компания, предоставяща услуги в областта на телемедицината, повикване на лекар у дома, съхранение и обработка лични медицински данни. Компанията получи инвестиции от Yandex.
Съдейки по събраната информация, базата данни на ClickHouse наистина е била свободно достъпна и всеки, който знае IP адреса, може да получи данни от нея. Тези данни вероятно се оказаха регистрационни файлове за достъп до услугата.
Както можете да видите от снимката по-горе, в допълнение към уеб сървъра www.docplus.ru и сървъра ClickHouse (порт 9000), базата данни MongoDB виси широко отворена на същия IP адрес (в който, очевидно, няма нищо интересно).
Доколкото знам, търсачката Shodan.io е използвана за откриване на сървъра ClickHouse (около Написах отделно) във връзка със специален скрипт , който провери намерената база данни за липса на удостоверяване и изброи всички нейни таблици. По това време изглеждаше, че те са 474.
От документацията знаем, че по подразбиране сървърът ClickHouse слуша HTTP на порт 8123. Следователно, за да видите какво се съдържа в таблиците, е достатъчно да изпълните нещо като тази SQL заявка:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]В резултат на изпълнение на заявката това, което вероятно може да бъде върнато, е това, което е посочено на екранната снимка по-долу:
От екранната снимка се вижда, че информацията в полето ХЕДЕРИ съдържа данни за местоположението (географска ширина и дължина) на потребителя, неговия IP адрес, информация за устройството, от което се е свързал към услугата, версия на ОС и др.
Ако на някой му хрумне леко да промени SQL заявката, например, така:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
тогава може да се върне нещо подобно на личните данни на служителите, а именно: пълно име, дата на раждане, пол, данъчен идентификационен номер, адреси на регистрация и действително местоживеене, телефонни номера, длъжности, имейл адреси и много други:
Цялата тази информация от екранната снимка по-горе е много подобна на данните за човешките ресурси от 1C: Enterprise 8.3.
Погледнете по-отблизо параметъра API_USER_TOKEN може да си помислите, че това е „работещ“ токен, с който можете да извършвате различни действия от името на потребителя, включително получаване на неговите лични данни. Но, разбира се, не мога да кажа това.
Към момента няма информация, че сървърът на ClickHouse все още е свободно достъпен на същия IP адрес.
Източник: www.habr.com