Daghan kog nasulat bahin sa pagkadiskobre sa mga database nga libre nga ma-access sa halos tanan nga mga nasud sa kalibutan, apan halos wala'y balita mahitungod sa mga database sa Russia nga nahabilin sa pampublikong domain. Bisan bag-o lang mahitungod sa "kamot sa Kremlin," nga gikahadlokan sa usa ka Dutch nga tigdukiduki nga nadiskobrehan sa kapin sa 2000 ka bukas nga mga database.
Tingali adunay usa ka sayop nga pagsabut nga ang tanan maayo sa Russia ug ang mga tag-iya sa dagkong mga proyekto sa online sa Russia nagkuha usa ka responsable nga pamaagi sa pagtipig sa datos sa tiggamit. Gipadali nako ang pag-debunk niini nga mito gamit kini nga pananglitan.
Ang Russian nga online nga medikal nga serbisyo DOC + dayag nga nakahimo sa pagbiya sa ClickHouse database nga adunay access logs nga magamit sa publiko. Ikasubo, ang mga troso tan-awon nga detalyado kaayo nga ang personal nga datos sa mga empleyado, kauban ug kliyente sa serbisyo mahimo’g na-leak.
Una nga mga butang una ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Uban kanako, isip tag-iya sa channel sa Telegram "", usa ka channel reader nga gustong magpabilin nga dili mailhan ang nakigkontak ug literal nga nagtaho sa mosunod:
Usa ka bukas nga ClickHouse server ang nadiskobrehan sa Internet, nga iya sa kompanya nga doc+. Ang server IP address motakdo sa IP address diin ang docplus.ru domain gi-configure.
Gikan sa Wikipedia: Ang DOC + (New Medicine LLC) usa ka kompanya sa medikal nga Ruso nga naghatag serbisyo sa natad sa telemedicine, nagtawag sa usa ka doktor sa balay, pagtipig ug pagproseso. personal nga medikal nga datos. Ang kompanya nakadawat mga pamuhunan gikan sa Yandex.
Sa paghukom sa impormasyon nga nakolekta, ang ClickHouse database sa pagkatinuod libre nga ma-access, ug bisan kinsa, nga nahibalo sa IP address, makakuha og data gikan niini. Kini nga datos lagmit nahimo nga mga log sa pag-access sa serbisyo.
Sama sa imong makita gikan sa hulagway sa ibabaw, dugang sa www.docplus.ru web server ug ang ClickHouse server (port 9000), ang MongoDB database nagbitay nga bukas sa samang IP address (diin, dayag, walay bisan unsa makapaikag).
Sa akong nahibal-an, ang Shodan.io search engine gigamit aron madiskubre ang ClickHouse server (mga Gilain ko ang pagsulat) inubanan sa usa ka espesyal nga script , nga nagsusi sa nakit-an nga database alang sa kakulang sa authentication ug gilista ang tanan nga mga lamesa niini. Niadtong panahona morag 474 sila.
Gikan sa dokumentasyon nahibal-an namon nga sa default, ang ClickHouse server naminaw sa HTTP sa port 8123. Busa, aron makita kung unsa ang naa sa mga lamesa, igo na nga magpadagan sama niini nga pangutana sa SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Ingon usa ka sangputanan sa pagpatuman sa hangyo, ang mahimo’g ibalik mao ang gipakita sa screenshot sa ubos:
Gikan sa screenshot kini mao ang tin-aw nga ang impormasyon sa uma MGA HEADERS adunay mga datos bahin sa lokasyon (latitude ug longitude) sa tiggamit, iyang IP address, kasayuran bahin sa aparato diin siya konektado sa serbisyo, bersyon sa OS, ug uban pa.
Kung nahitabo sa usa ka tawo nga gamay nga usbon ang pangutana sa SQL, pananglitan, sama niini:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
unya ang usa ka butang nga susama sa personal nga data sa mga empleyado mahimong ibalik, nga mao ang: bug-os nga ngalan, petsa sa pagkatawo, gender, numero sa pag-ila sa buhis, rehistrasyon ug aktwal nga mga adres sa pinuy-anan, mga numero sa telepono, mga posisyon, mga adres sa email ug daghan pa:
Kining tanan nga impormasyon gikan sa screenshot sa ibabaw susama kaayo sa HR data gikan sa 1C: Enterprise 8.3.
Pagsusi pag-ayo sa parameter API_USER_TOKEN tingali maghunahuna ka nga kini usa ka "nagtrabaho" nga timaan diin mahimo nimo ang lainlaing mga aksyon alang sa tiggamit, lakip ang pagkuha sa iyang personal nga datos. Apan siyempre dili ako makasulti niini.
Sa pagkakaron walay impormasyon nga ang ClickHouse server kay libre gihapon nga ma-access sa samang IP address.
Source: www.habr.com