Rwy'n ysgrifennu llawer am ddarganfod cronfeydd data hygyrch ym mron pob gwlad yn y byd, ond nid oes bron dim newyddion am gronfeydd data Rwsia ar ôl yn y parth cyhoeddus. Er yn ddiweddar am “law’r Kremlin,” yr oedd ymchwilydd o’r Iseldiroedd yn ofnus o’i ddarganfod mewn mwy na 2000 o gronfeydd data agored.
Efallai bod camsyniad bod popeth yn wych yn Rwsia ac mae perchnogion prosiectau ar-lein mawr Rwsia yn cymryd agwedd gyfrifol at storio data defnyddwyr. Rwy'n prysuro i chwalu'r myth hwn gan ddefnyddio'r enghraifft hon.
Mae'n debyg bod gwasanaeth meddygol ar-lein Rwsia DOC+ wedi llwyddo i adael cronfa ddata ClickHouse gyda logiau mynediad ar gael i'r cyhoedd. Yn anffodus, mae'r logiau'n edrych mor fanwl fel y gallai data personol gweithwyr, partneriaid a chleientiaid y gwasanaeth gael eu gollwng.
Pethau cyntaf yn gyntaf...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Gyda mi, fel perchennog y sianel Telegram "", cysylltodd darllenydd sianel a oedd yn dymuno aros yn ddienw ac adrodd yn llythrennol y canlynol:
Darganfuwyd gweinydd ClickHouse agored ar y Rhyngrwyd, sy'n perthyn i'r cwmni doc+. Mae cyfeiriad IP y gweinydd yn cyfateb i'r cyfeiriad IP y mae'r parth docplus.ru wedi'i ffurfweddu iddo.
O Wicipedia: Mae DOC + (New Medicine LLC) yn gwmni meddygol o Rwsia sy'n darparu gwasanaethau ym maes telefeddygaeth, gan alw meddyg gartref, storio a phrosesu data meddygol personol. Derbyniodd y cwmni fuddsoddiadau gan Yandex.
A barnu yn ôl y wybodaeth a gasglwyd, roedd cronfa ddata ClickHouse yn hygyrch iawn, a gallai unrhyw un, a oedd yn gwybod y cyfeiriad IP, gael data ohoni. Mae'n debyg mai logiau mynediad gwasanaeth oedd y data hwn.
Fel y gwelwch o'r llun uchod, yn ogystal â'r gweinydd gwe www.docplus.ru a'r gweinydd ClickHouse (porthladd 9000), mae cronfa ddata MongoDB yn agor yn eang ar yr un cyfeiriad IP (lle, mae'n debyg, nid oes dim diddorol).
Hyd y gwn i, defnyddiwyd peiriant chwilio Shodan.io i ddarganfod gweinydd ClickHouse (tua Ysgrifennais ar wahân) ar y cyd â sgript arbennig , a wiriodd y gronfa ddata a ddarganfuwyd am ddiffyg dilysu ac a restrodd ei holl dablau. Yr adeg honno roedd yn ymddangos bod 474 ohonyn nhw.
O'r ddogfennaeth rydym yn gwybod bod gweinydd ClickHouse yn ddiofyn yn gwrando ar HTTP ar borthladd 8123. Felly, i weld beth sydd wedi'i gynnwys yn y tablau, mae'n ddigon rhedeg rhywbeth fel yr ymholiad SQL hwn:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]O ganlyniad i weithredu'r cais, mae'n debyg mai'r hyn y gellir ei ddychwelyd yw'r hyn a nodir yn y sgrinlun isod:
O'r screenshot mae'n amlwg bod y wybodaeth yn y maes PENNAETHAU yn cynnwys data am leoliad (lledred a hydred) y defnyddiwr, ei gyfeiriad IP, gwybodaeth am y ddyfais y cysylltodd â'r gwasanaeth ohoni, fersiwn OS, ac ati.
Os digwyddodd i rywun addasu'r ymholiad SQL ychydig, er enghraifft, fel hyn:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
yna gellid dychwelyd rhywbeth tebyg i ddata personol gweithwyr, sef: enw llawn, dyddiad geni, rhyw, rhif adnabod treth, cofrestriad a chyfeiriadau man preswylio gwirioneddol, rhifau ffôn, swyddi, cyfeiriadau e-bost a llawer mwy:
Mae'r holl wybodaeth hon o'r sgrinlun uchod yn debyg iawn i'r data AD o 1C: Enterprise 8.3.
Edrych yn agosach ar y paramedr API_USER_TOKEN efallai eich bod yn meddwl bod hwn yn docyn “gweithiol” y gallwch chi ei ddefnyddio i gyflawni gweithredoedd amrywiol ar ran y defnyddiwr, gan gynnwys cael ei ddata personol. Ond wrth gwrs ni allaf ddweud hyn.
Ar hyn o bryd nid oes unrhyw wybodaeth bod gweinydd ClickHouse yn dal i fod ar gael yn rhwydd yn yr un cyfeiriad IP.
Ffynhonnell: hab.com