Escric molt sobre el descobriment de bases de dades de lliure accés a gairebé tots els països del món, però gairebé no hi ha notícies sobre bases de dades russes que queden en el domini públic. Encara que fa poc sobre la "mà del Kremlin", que un investigador holandès va tenir por de descobrir en més de 2000 bases de dades obertes.
Pot haver-hi una idea errònia que tot és genial a Rússia i els propietaris de grans projectes en línia russos adopten un enfocament responsable per emmagatzemar les dades dels usuaris. M'afanyo a desmentir aquest mite utilitzant aquest exemple.
El servei mèdic en línia rus DOC+ sembla que va aconseguir deixar la base de dades ClickHouse amb els registres d'accés disponibles públicament. Malauradament, els registres semblen tan detallats que possiblement es podrien filtrar les dades personals dels empleats, socis i clients del servei.
El primer és el primer...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Amb mi, com a propietari del canal de Telegram "", un lector del canal que volia mantenir l'anonimat es va posar en contacte i va informar literalment del següent:
Es va descobrir un servidor ClickHouse obert a Internet, que pertany a l'empresa doc+. L'adreça IP del servidor coincideix amb l'adreça IP amb la qual està configurat el domini docplus.ru.
De Wikipedia: DOC+ (New Medicine LLC) és una empresa mèdica russa que ofereix serveis en el camp de la telemedicina, trucant a un metge a casa, emmagatzematge i processament dades mèdiques personals. L'empresa va rebre inversions de Yandex.
A jutjar per la informació recollida, la base de dades de ClickHouse era de fet d'accés lliure i qualsevol persona, coneixent l'adreça IP, podia obtenir-ne dades. Aquestes dades probablement van resultar ser registres d'accés al servei.
Com podeu veure a la imatge de dalt, a més del servidor web www.docplus.ru i el servidor ClickHouse (port 9000), la base de dades MongoDB està oberta a la mateixa adreça IP (en la qual, pel que sembla, no hi ha res). interessant).
Pel que jo sé, el motor de cerca Shodan.io es va utilitzar per descobrir el servidor ClickHouse (aproximadament Vaig escriure per separat) juntament amb un guió especial , que va comprovar la base de dades trobada per falta d'autenticació i va enumerar totes les seves taules. En aquell moment semblava que n'hi havia 474.
Per la documentació sabem que, per defecte, el servidor ClickHouse escolta HTTP al port 8123. Per tant, per veure què hi ha a les taules, n'hi ha prou amb executar alguna cosa com aquesta consulta SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Com a resultat d'executar la sol·licitud, el que probablement es podria retornar és el que s'indica a la captura de pantalla següent:
A partir de la captura de pantalla queda clar que la informació del camp CAPACITATS conté dades sobre la ubicació (latitud i longitud) de l'usuari, la seva adreça IP, informació sobre el dispositiu des del qual es va connectar al servei, la versió del sistema operatiu, etc.
Si a algú se li va ocórrer modificar lleugerament la consulta SQL, per exemple, així:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
llavors es podria retornar alguna cosa semblant a les dades personals dels empleats, a saber: nom complet, data de naixement, sexe, número d'identificació fiscal, adreces de registre i lloc de residència real, números de telèfon, llocs de treball, adreces de correu electrònic i molt més:
Tota aquesta informació de la captura de pantalla anterior és molt semblant a les dades de recursos humans de 1C: Enterprise 8.3.
Donant un cop d'ull al paràmetre API_USER_TOKEN podríeu pensar que es tracta d'un testimoni "de treball" amb el qual podeu realitzar diverses accions en nom de l'usuari, inclosa l'obtenció de les seves dades personals. Però és clar que no puc dir això.
De moment no hi ha informació que el servidor ClickHouse encara sigui accessible de manera gratuïta a la mateixa adreça IP.
Font: www.habr.com