Puno pišem o otkriću slobodno dostupnih baza podataka u gotovo svim zemljama svijeta, ali gotovo da nema vijesti o ruskim bazama podataka u javnom domenu. Iako nedavno o "ruci Kremlja", koju je holandski istraživač uplašio otkriti u više od 2000 otvorenih baza podataka.
Možda postoji zabluda da je u Rusiji sve super i da vlasnici velikih ruskih online projekata odgovorno pristupaju pohranjivanju korisničkih podataka. Požurim da razotkrijem ovaj mit koristeći ovaj primjer.
Ruska onlajn medicinska služba DOC+ je očigledno uspela da ostavi ClickHouse bazu podataka sa evidencijama pristupa javno dostupnim. Nažalost, dnevnici izgledaju toliko detaljno da su lični podaci zaposlenih, partnera i klijenata servisa mogli da procure.
Krenimo redom...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Sa mnom, kao vlasnikom Telegram kanala"“, javio se čitatelj kanala koji je želio ostati anoniman i doslovce javio sljedeće:
Na internetu je otkriven otvoreni ClickHouse server koji pripada kompaniji doc+. IP adresa servera odgovara IP adresi na koju je konfigurisana domena docplus.ru.
Iz Vikipedije: DOC+ (New Medicine LLC) je ruska medicinska kompanija koja pruža usluge u oblasti telemedicine, pozivanja doktora kod kuće, skladištenja i obrade lične medicinske podatke. Kompanija je dobila investicije od Yandexa.
Sudeći po prikupljenim informacijama, ClickHouse baza podataka je zaista bila slobodno dostupna i svako ko zna IP adresu mogao je iz nje dobiti podatke. Ispostavilo se da su ovi podaci bili evidencija pristupa servisu.
Kao što možete vidjeti sa gornje slike, pored web servera www.docplus.ru i ClickHouse servera (port 9000), MongoDB baza podataka visi širom otvorena na istoj IP adresi (na kojoj, po svemu sudeći, nema ničega zanimljivo).
Koliko ja znam, Shodan.io tražilica je korištena za otkrivanje ClickHouse servera (oko Napisao sam odvojeno) u kombinaciji sa posebnim skriptom , koji je provjerio pronađenu bazu podataka za nedostatak autentifikacije i naveo sve njene tabele. Tada se činilo da ih je bilo 474.
Iz dokumentacije znamo da po defaultu ClickHouse server sluša HTTP na portu 8123. Stoga, da vidite šta se nalazi u tabelama, dovoljno je pokrenuti nešto poput ovog SQL upita:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Kao rezultat izvršenja zahtjeva, ono što bi vjerovatno moglo biti vraćeno je ono što je prikazano na slici ispod:
Sa snimka ekrana je jasno da su informacije na terenu HEADERS sadrži podatke o lokaciji (geografsku širinu i dužinu) korisnika, njegovu IP adresu, podatke o uređaju sa kojeg se povezao na servis, verziju OS-a itd.
Ako je nekome palo na pamet da malo modificira SQL upit, na primjer, ovako:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
tada bi se moglo vratiti nešto slično ličnim podacima zaposlenih, a to su: puno ime, datum rođenja, spol, PIB, adresa registracije i stvarnog prebivališta, brojevi telefona, pozicije, e-mail adrese i još mnogo toga:
Sve ove informacije sa gornje slike ekrana vrlo su slične HR podacima iz 1C: Enterprise 8.3.
Pažljivije pogledamo parametar API_USER_TOKEN možda mislite da je ovo „radni“ token s kojim možete obavljati različite radnje u ime korisnika, uključujući i pribavljanje njegovih ličnih podataka. Ali naravno ne mogu ovo da kažem.
Trenutno nema informacija da je ClickHouse server i dalje slobodno dostupan na istoj IP adresi.
izvor: www.habr.com