Ich schreibe viel über die Entdeckung frei zugänglicher Datenbanken in fast allen Ländern der Welt, aber es gibt fast keine Neuigkeiten über russische Datenbanken, die noch öffentlich zugänglich sind. Obwohl vor kurzem über die „Hand des Kremls“, die ein niederländischer Forscher voller Angst in mehr als 2000 offenen Datenbanken entdeckte.
Es besteht möglicherweise die falsche Vorstellung, dass in Russland alles großartig ist und dass die Eigentümer großer russischer Online-Projekte einen verantwortungsvollen Umgang mit der Speicherung von Benutzerdaten verfolgen. Ich beeile mich, diesen Mythos anhand dieses Beispiels zu entlarven.
Dem russischen Online-Medizindienst DOC+ ist es offenbar gelungen, die ClickHouse-Datenbank mit Zugriffsprotokollen öffentlich zugänglich zu machen. Leider sehen die Protokolle so detailliert aus, dass persönliche Daten von Mitarbeitern, Partnern und Kunden des Dienstes durchgesickert sein könnten.
Alles in Ordnung ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Bei mir als Besitzer des Telegram-Kanals“„, meldete sich ein Channel-Leser, der anonym bleiben wollte, und berichtete wörtlich Folgendes:
Im Internet wurde ein offener ClickHouse-Server entdeckt, der der Firma doc+ gehört. Die Server-IP-Adresse entspricht der IP-Adresse, für die die Domäne docplus.ru konfiguriert ist.
Aus Wikipedia: DOC+ (New Medicine LLC) ist ein russisches Medizinunternehmen, das Dienstleistungen im Bereich Telemedizin, Arztbesuch zu Hause, Lagerung und Verarbeitung anbietet persönliche medizinische Daten. Das Unternehmen erhielt Investitionen von Yandex.
Den gesammelten Informationen nach zu urteilen, war die ClickHouse-Datenbank tatsächlich frei zugänglich und jeder, der die IP-Adresse kannte, konnte Daten daraus erhalten. Bei diesen Daten handelte es sich vermutlich um Dienstzugriffsprotokolle.
Wie Sie auf dem Bild oben sehen können, hängt zusätzlich zum www.docplus.ru-Webserver und dem ClickHouse-Server (Port 9000) die MongoDB-Datenbank weit offen an derselben IP-Adresse (in der anscheinend nichts steht). interessant).
Soweit ich weiß, wurde die Suchmaschine Shodan.io verwendet, um den ClickHouse-Server zu entdecken (ca Ich habe separat geschrieben) in Verbindung mit einem speziellen Skript , der die gefundene Datenbank auf fehlende Authentifizierung überprüfte und alle ihre Tabellen auflistete. Zu diesem Zeitpunkt schien es 474 von ihnen zu geben.
Aus der Dokumentation wissen wir, dass der ClickHouse-Server standardmäßig HTTP auf Port 8123 überwacht. Um zu sehen, was in den Tabellen enthalten ist, reicht es daher aus, etwa diese SQL-Abfrage auszuführen:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Als Ergebnis der Ausführung der Anfrage könnte wahrscheinlich das zurückgegeben werden, was im folgenden Screenshot angezeigt wird:
Aus dem Screenshot geht hervor, dass die Informationen im Feld vorhanden sind HEADER enthält Daten über den Standort (Breiten- und Längengrad) des Benutzers, seine IP-Adresse, Informationen über das Gerät, von dem aus er sich mit dem Dienst verbunden hat, die Betriebssystemversion usw.
Wenn jemand auf die Idee gekommen wäre, die SQL-Abfrage leicht zu ändern, beispielsweise so:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
dann könnte etwas Ähnliches wie die personenbezogenen Daten von Mitarbeitern zurückgegeben werden, nämlich: vollständiger Name, Geburtsdatum, Geschlecht, Steueridentifikationsnummer, Melde- und tatsächliche Wohnadressen, Telefonnummern, Positionen, E-Mail-Adressen und vieles mehr:
Alle diese Informationen aus dem obigen Screenshot sind den HR-Daten von 1C: Enterprise 8.3 sehr ähnlich.
Schauen Sie sich den Parameter genauer an API_USER_TOKEN Sie könnten denken, dass es sich hierbei um einen „funktionierenden“ Token handelt, mit dem Sie im Namen des Benutzers verschiedene Aktionen ausführen können, einschließlich des Abrufens seiner persönlichen Daten. Aber das kann ich natürlich nicht sagen.
Derzeit gibt es keine Informationen darüber, dass der ClickHouse-Server weiterhin unter derselben IP-Adresse frei erreichbar ist.
Source: habr.com