Jeg skriver meget om opdagelsen af frit tilgængelige databaser i næsten alle lande i verden, men der er næsten ingen nyheder om russiske databaser tilbage i det offentlige domæne. Skønt for nylig om "Kremlins hånd", som en hollandsk forsker var bange for at opdage i mere end 2000 åbne databaser.
Der kan være en misforståelse om, at alt er fantastisk i Rusland, og ejerne af store russiske online-projekter tager en ansvarlig tilgang til lagring af brugerdata. Jeg skynder mig at aflive denne myte ved hjælp af dette eksempel.
Den russiske online lægetjeneste DOC+ formåede tilsyneladende at forlade ClickHouse-databasen med adgangslogfiler offentligt tilgængelige. Desværre ser loggene så detaljerede ud, at personlige data om medarbejdere, partnere og kunder af tjenesten kunne være blevet lækket.
Første ting først...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Med mig som ejer af Telegram-kanalen "", tog en kanallæser, der ønskede at være anonym, kontakt og rapporterede bogstaveligt talt følgende:
En åben ClickHouse-server blev opdaget på internettet, som tilhører virksomheden doc+. Serverens IP-adresse matcher den IP-adresse, som docplus.ru-domænet er konfigureret til.
Fra Wikipedia: DOC+ (New Medicine LLC) er en russisk medicinsk virksomhed, der leverer tjenester inden for telemedicin, opkald til en læge i hjemmet, opbevaring og behandling personlige medicinske data. Virksomheden modtog investeringer fra Yandex.
At dømme efter de indsamlede oplysninger var ClickHouse-databasen faktisk frit tilgængelig, og enhver, der kender IP-adressen, kunne få data fra den. Disse data viste sig formodentlig at være serviceadgangslogfiler.
Som du kan se på billedet ovenfor, hænger MongoDB-databasen ud over webserveren www.docplus.ru og ClickHouse-serveren (port 9000) helt åben på den samme IP-adresse (hvor der tilsyneladende ikke er noget interessant).
Så vidt jeg ved, blev Shodan.io-søgemaskinen brugt til at opdage ClickHouse-serveren (ca Jeg skrev separat) i forbindelse med et særligt manuskript , som kontrollerede den fundne database for manglende godkendelse og listede alle dens tabeller. På det tidspunkt så der ud til at være 474 af dem.
Fra dokumentationen ved vi, at ClickHouse-serveren som standard lytter til HTTP på port 8123. Derfor, for at se, hvad der er indeholdt i tabellerne, er det nok at køre noget som denne SQL-forespørgsel:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Som et resultat af at udføre anmodningen, er det, der sandsynligvis kan returneres, det, der er angivet på skærmbilledet nedenfor:
Fra skærmbilledet er det tydeligt, at oplysningerne i feltet OVERSKRIFT indeholder data om brugerens placering (breddegrad og længdegrad), dennes IP-adresse, information om den enhed, hvorfra han har oprettet forbindelse til tjenesten, OS-version osv.
Hvis det faldt nogen ind at ændre SQL-forespørgslen lidt, for eksempel sådan:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
så kunne noget svarende til medarbejdernes personlige data returneres, nemlig: fulde navn, fødselsdato, køn, skatte-id-nummer, registrerings- og faktiske bopælsadresser, telefonnumre, stillinger, e-mailadresser og meget mere:
Alle disse oplysninger fra skærmbilledet ovenfor ligner meget HR-dataene fra 1C: Enterprise 8.3.
Ser nærmere på parameteren API_USER_TOKEN du tror måske, at dette er et "fungerende" token, med hvilket du kan udføre forskellige handlinger på vegne af brugeren, herunder indhentning af hans personlige data. Men det kan jeg selvfølgelig ikke sige.
I øjeblikket er der ingen oplysninger om, at ClickHouse-serveren stadig er frit tilgængelig på den samme IP-adresse.
Kilde: www.habr.com