Scrivu assai nantu à a scuperta di basa di dati liberamente accessibile in quasi tutti i paesi di u mondu, ma ùn ci hè quasi nutizie nantu à e basa di dati russa lasciate in u duminiu publicu. Ancu s'è pocu tempu circa a "manu di u Kremlin", chì un circadori Olandese era spavintatu di scopre in più di 2000 basa di dati aperti.
Ci pò esse un cuncepimentu sbagliatu chì tuttu hè grande in Russia è i pruprietarii di grandi prughjetti in linea russi piglianu un accostu rispunsevule per almacenà e dati di l'utilizatori. Aghju prestu à debunk stu mitu cù questu esempiu.
U serviziu medico in linea russu DOC + apparentemente hà sappiutu lascià a basa di dati ClickHouse cù logs d'accessu publicamente dispunibili. Sfortunatamente, i logs pareanu cusì detallati chì e dati persunali di l'impiegati, i partenarii è i clienti di u serviziu puderianu esse filtrati.
Prima cosa prima...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Cun mè, cum'è u pruprietariu di u canali Telegram "", un lettore di u canali chì vulia restà anonimu hà cuntattatu è hà riportatu literalmente u seguente:
Un servitore ClickHouse apertu hè statu scupertu in Internet, chì appartene à a cumpagnia doc+. L'indirizzu IP di u servitore currisponde à l'indirizzu IP à quale u duminiu docplus.ru hè cunfiguratu.
Da Wikipedia: DOC+ (New Medicine LLC) hè una cumpagnia medica russa chì furnisce servizii in u campu di a telemedicina, chjamendu un duttore in casa, almacenamentu è trasfurmazioni. dati medichi persunali. A cumpagnia hà ricevutu investimenti da Yandex.
A ghjudicà da l'infurmazioni raccolte, a basa di dati ClickHouse era veramente accessibile liberamente, è qualcunu, sapendu l'indirizzu IP, puderia ottene dati da ellu. Queste dati presumibilmente sò diventati logs d'accessu à u serviziu.
Comu pudete vede da a stampa sopra, in più di u servitore web www.docplus.ru è u servitore ClickHouse (portu 9000), a basa di dati MongoDB hè appiccicata aperta nantu à u listessu indirizzu IP (in quale, apparentemente, ùn ci hè nunda. interessante).
Quantu sò, u mutore di ricerca Shodan.io hè stata utilizata per scopre u servitore ClickHouse (circa Aghju scrittu separatamente) in cunghjunzione cù un script speciale , chì hà verificatu a basa di dati truvata per mancanza di autentificazione è hà listatu tutte e so tavule. À quellu tempu pareva esse 474 di elli.
Da a ducumentazione sapemu chì per automaticamente, u servitore ClickHouse ascolta HTTP in u portu 8123. Dunque, per vede ciò chì hè cuntenutu in e tavule, hè abbastanza per eseguisce qualcosa cum'è questa query SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]In u risultatu di l'esecuzione di a dumanda, ciò chì puderia esse restituitu hè ciò chì hè indicatu in a screenshot sottu:
Da a screenshot hè chjaru chì l'infurmazioni in u campu TESTATE cuntene dati nantu à u locu (latitudine è longitudine) di l'utilizatore, u so indirizzu IP, infurmazione nantu à u dispusitivu da quale hà cunnessu à u serviziu, versione OS, etc.
S'ellu hè accadutu à qualchissia per mudificà ligeramente a dumanda SQL, per esempiu, cusì:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
Allora qualcosa simile à i dati persunali di l'impiegati puderia esse tornatu, vale à dì: nome pienu, data di nascita, sessu, numeru d'identificazione fiscale, indirizzi di registrazione è locu di residenza reale, numeri di telefunu, pusizioni, indirizzi email è assai di più:
Tutta questa informazione da a screenshot sopra hè assai simili à i dati HR da 1C: Enterprise 8.3.
Fighjendu più attente à u paràmetru API_USER_TOKEN Puderete pensà chì questu hè un token di "travagliu" cù quale pudete fà diverse azzioni in nome di l'utilizatore, cumpresu l'ottenimentu di e so dati persunali. Ma di sicuru, ùn possu micca dì questu.
À u mumentu ùn ci hè micca infurmazione chì u servitore ClickHouse hè sempre accessibile liberamente à u stessu indirizzu IP.
Source: www.habr.com