Γράφω πολλά για την ανακάλυψη ελεύθερα προσβάσιμων βάσεων δεδομένων σε όλες σχεδόν τις χώρες του κόσμου, αλλά δεν υπάρχει σχεδόν καμία είδηση για τις ρωσικές βάσεις δεδομένων στο δημόσιο τομέα. Αν και πρόσφατα για το «χέρι του Κρεμλίνου», το οποίο ένας Ολλανδός ερευνητής ανακάλυψε φοβισμένος σε περισσότερες από 2000 ανοιχτές βάσεις δεδομένων.
Μπορεί να υπάρχει μια εσφαλμένη αντίληψη ότι όλα είναι υπέροχα στη Ρωσία και οι ιδιοκτήτες μεγάλων ρωσικών διαδικτυακών έργων ακολουθούν μια υπεύθυνη προσέγγιση για την αποθήκευση δεδομένων χρηστών. Σπεύδω να καταρρίψω αυτόν τον μύθο χρησιμοποιώντας αυτό το παράδειγμα.
Η ρωσική διαδικτυακή ιατρική υπηρεσία DOC+ προφανώς κατάφερε να εγκαταλείψει τη βάση δεδομένων ClickHouse με τα αρχεία καταγραφής πρόσβασης διαθέσιμα στο κοινό. Δυστυχώς, τα αρχεία καταγραφής φαίνονται τόσο λεπτομερή που θα μπορούσαν να είχαν διαρρεύσει προσωπικά δεδομένα εργαζομένων, συνεργατών και πελατών της υπηρεσίας.
Καταρχάς...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Μαζί μου, ως ιδιοκτήτης του καναλιού Telegram "», ένας αναγνώστης καναλιού που θέλησε να διατηρήσει την ανωνυμία του επικοινώνησε και ανέφερε κυριολεκτικά τα εξής:
Ένας ανοιχτός διακομιστής ClickHouse ανακαλύφθηκε στο Διαδίκτυο, ο οποίος ανήκει στην εταιρεία doc+. Η διεύθυνση IP του διακομιστή ταιριάζει με τη διεύθυνση IP στην οποία έχει διαμορφωθεί ο τομέας docplus.ru.
Από τη Βικιπαίδεια: Η DOC+ (New Medicine LLC) είναι μια ρωσική ιατρική εταιρεία που παρέχει υπηρεσίες στον τομέα της τηλεϊατρικής, καλώντας γιατρό στο σπίτι, αποθήκευση και επεξεργασία προσωπικά ιατρικά δεδομένα. Η εταιρεία έλαβε επενδύσεις από την Yandex.
Κρίνοντας από τις πληροφορίες που συλλέχθηκαν, η βάση δεδομένων ClickHouse ήταν πράγματι ελεύθερα προσβάσιμη και οποιοσδήποτε, γνωρίζοντας τη διεύθυνση IP, μπορούσε να λάβει δεδομένα από αυτήν. Αυτά τα δεδομένα προφανώς αποδείχτηκαν αρχεία καταγραφής πρόσβασης υπηρεσίας.
Όπως μπορείτε να δείτε από την παραπάνω εικόνα, εκτός από τον διακομιστή web www.docplus.ru και τον διακομιστή ClickHouse (θύρα 9000), η βάση δεδομένων MongoDB είναι ανοιχτή στην ίδια διεύθυνση IP (στην οποία, προφανώς, δεν υπάρχει τίποτα ενδιαφέρων).
Από όσο γνωρίζω, η μηχανή αναζήτησης Shodan.io χρησιμοποιήθηκε για την ανακάλυψη του διακομιστή ClickHouse (περίπου Έγραψα χωριστά) σε συνδυασμό με ειδικό σενάριο , το οποίο έλεγξε τη βάση δεδομένων που βρέθηκε για έλλειψη ελέγχου ταυτότητας και απαριθμούσε όλους τους πίνακες της. Εκείνη την εποχή φαινόταν ότι ήταν 474 από αυτούς.
Από την τεκμηρίωση γνωρίζουμε ότι από προεπιλογή, ο διακομιστής ClickHouse ακούει HTTP στη θύρα 8123. Επομένως, για να δείτε τι περιέχεται στους πίνακες, αρκεί να εκτελέσετε κάτι σαν αυτό το ερώτημα SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Ως αποτέλεσμα της εκτέλεσης του αιτήματος, αυτό που πιθανώς θα μπορούσε να επιστραφεί είναι αυτό που υποδεικνύεται στο παρακάτω στιγμιότυπο οθόνης:
Από το στιγμιότυπο οθόνης είναι σαφές ότι οι πληροφορίες στο πεδίο ΚΕΦΑΛΙΕΣ περιέχει δεδομένα σχετικά με την τοποθεσία (γεωγραφικό πλάτος και μήκος) του χρήστη, τη διεύθυνση IP του, πληροφορίες σχετικά με τη συσκευή από την οποία συνδέθηκε στην υπηρεσία, την έκδοση του λειτουργικού συστήματος κ.λπ.
Εάν σκέφτηκε κάποιος να τροποποιήσει ελαφρώς το ερώτημα SQL, για παράδειγμα, ως εξής:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
τότε θα μπορούσε να επιστραφεί κάτι παρόμοιο με τα προσωπικά δεδομένα των εργαζομένων, δηλαδή: πλήρες όνομα, ημερομηνία γέννησης, φύλο, αριθμός φορολογικού μητρώου, διευθύνσεις εγγραφής και πραγματικός τόπος διαμονής, αριθμοί τηλεφώνου, θέσεις, διευθύνσεις email και πολλά άλλα:
Όλες αυτές οι πληροφορίες από το παραπάνω στιγμιότυπο οθόνης είναι πολύ παρόμοιες με τα δεδομένα HR από το 1C: Enterprise 8.3.
Ρίχνοντας μια πιο προσεκτική ματιά στην παράμετρο API_USER_TOKEN μπορεί να πιστεύετε ότι πρόκειται για ένα διακριτικό «λειτουργίας» με το οποίο μπορείτε να εκτελέσετε διάφορες ενέργειες για λογαριασμό του χρήστη, συμπεριλαμβανομένης της απόκτησης των προσωπικών του δεδομένων. Αλλά φυσικά δεν μπορώ να το πω αυτό.
Προς το παρόν δεν υπάρχουν πληροφορίες ότι ο διακομιστής ClickHouse εξακολουθεί να είναι ελεύθερα προσβάσιμος στην ίδια διεύθυνση IP.
Πηγή: www.habr.com