Hodně píšu o objevování volně přístupných databází téměř ve všech zemích světa, ale o ruských databázích nezůstaly ve veřejné doméně téměř žádné zprávy. I když nedávno o „ruce Kremlu“, kterou se nizozemský výzkumník vyděsil objevit ve více než 2000 XNUMX otevřených databázích.
Může existovat mylná představa, že v Rusku je vše skvělé a majitelé velkých ruských online projektů přistupují k ukládání uživatelských dat zodpovědně. Spěchám tento mýtus vyvrátit pomocí tohoto příkladu.
Ruské online lékařské službě DOC+ se zřejmě podařilo ponechat databázi ClickHouse s přístupovými logy veřejně dostupné. Protokoly bohužel vypadají tak detailně, že mohlo dojít k úniku osobních údajů zaměstnanců, partnerů a klientů služby.
Všechno v pořádku ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Se mnou, jako vlastníkem kanálu Telegram "“, ozval se čtenář kanálu, který si přál zůstat v anonymitě, a nahlásil doslova následující:
Na internetu byl objeven otevřený server ClickHouse, který patří společnosti doc+. Adresa IP serveru odpovídá adrese IP, na kterou je nakonfigurována doména docplus.ru.
Z Wikipedie: DOC+ (New Medicine LLC) je ruská lékařská společnost poskytující služby v oblasti telemedicíny, volání lékaře doma, skladování a zpracování osobní lékařské údaje. Společnost získala investice od společnosti Yandex.
Soudě podle shromážděných informací byla databáze ClickHouse skutečně volně přístupná a kdokoli, kdo zná IP adresu, z ní mohl získat data. Tyto údaje se pravděpodobně ukázaly jako protokoly přístupu ke službám.
Jak můžete vidět z obrázku výše, kromě webového serveru www.docplus.ru a serveru ClickHouse (port 9000) visí databáze MongoDB dokořán na stejné IP adrese (ve které zjevně nic není zajímavý).
Pokud vím, k objevení serveru ClickHouse byl použit vyhledávač Shodan.io (asi Psal jsem samostatně) ve spojení se speciálním scénářem , který zkontroloval nalezenou databázi na nedostatek autentizace a vypsal všechny její tabulky. V té době se zdálo, že jich bylo 474.
Z dokumentace víme, že server ClickHouse standardně naslouchá HTTP na portu 8123. Proto, abyste viděli, co je obsaženo v tabulkách, stačí spustit něco jako tento SQL dotaz:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]V důsledku provedení požadavku by se pravděpodobně mohlo vrátit to, co je uvedeno na snímku obrazovky níže:
Ze snímku obrazovky je zřejmé, že informace v poli HLAVIČKY obsahuje údaje o poloze (zeměpisná šířka a délka) uživatele, jeho IP adresa, informace o zařízení, ze kterého se ke službě připojil, verzi OS atd.
Pokud by někoho napadlo mírně upravit SQL dotaz, například takto:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
pak by mohlo být vráceno něco podobného jako osobní údaje zaměstnanců, a to: celé jméno, datum narození, pohlaví, daňové identifikační číslo, adresa registrace a skutečného bydliště, telefonní čísla, pozice, e-mailové adresy a mnoho dalšího:
Všechny tyto informace z výše uvedeného snímku obrazovky jsou velmi podobné HR datům z 1C: Enterprise 8.3.
Při bližším pohledu na parametr API_USER_TOKEN můžete si myslet, že se jedná o „pracovní“ token, se kterým můžete jménem uživatele provádět různé akce, včetně získávání jeho osobních údajů. Ale tohle samozřejmě říct nemůžu.
V tuto chvíli nejsou žádné informace o tom, že by server ClickHouse byl stále volně přístupný na stejné IP adrese.
Zdroj: www.habr.com