Mi skribas multe pri la malkovro de libere alireblaj datumbazoj en preskaŭ ĉiuj landoj de la mondo, sed preskaŭ mankas novaĵo pri rusaj datumbazoj lasitaj en la publika domeno. Kvankam lastatempe pri la "mano de Kremlo", kiun nederlanda esploristo ektimis malkovri en pli ol 2000 XNUMX malfermitaj datumbazoj.
Eble estas miskompreno, ke ĉio estas bonega en Rusio kaj la posedantoj de grandaj rusaj interretaj projektoj prenas respondecan aliron al stokado de uzantdatenoj. Mi rapidas malkonfirmi ĉi tiun miton uzante ĉi tiun ekzemplon.
La rusa interreta medicina servo DOC+ ŝajne sukcesis lasi la datumbazon de ClickHouse kun alirprogramoj publike haveblaj. Bedaŭrinde, la protokoloj aspektas tiel detale, ke personaj datumoj de dungitoj, partneroj kaj klientoj de la servo povus esti filtritaj.
Unuaj aferoj unue...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Kun mi, kiel la posedanto de la Telegram-kanalo "", kanalleganto, kiu deziris resti anonima, kontaktis kaj raportis laŭvorte la jenon:
Malferma servilo ClickHouse estis malkovrita en la Interreto, kiu apartenas al la kompanio doc+. La IP-adreso de la servilo kongruas kun la IP-adreso al kiu la domajno docplus.ru estas agordita.
El Vikipedio: DOC+ (New Medicine LLC) estas rusa medicina kompanio provizanta servojn en la kampo de telemedicino, vokante kuraciston hejme, stokado kaj prilaborado. personaj medicinaj datumoj. La kompanio ricevis investojn de Yandex.
Juĝante laŭ la kolektitaj informoj, la datumbazo de ClickHouse ja estis libere alirebla, kaj ĉiu, sciante la IP-adreson, povis akiri datumojn de ĝi. Ĉi tiuj datumoj supozeble rezultis esti protokoloj de aliro de servo.
Kiel vi povas vidi el la supra bildo, krom la retservilo www.docplus.ru kaj la servilo ClickHouse (haveno 9000), la datumbazo MongoDB pendas tute malfermita sur la sama IP-adreso (en kiu, ŝajne, estas nenio. interesaj).
Laŭ mia scio, la serĉilo Shodan.io estis uzata por malkovri la servilon ClickHouse (ĉirkaŭ mi skribis aparte) kune kun speciala skripto , kiu kontrolis la trovitan datumbazon por manko de aŭtentigo kaj listigis ĉiujn ĝiajn tabelojn. En tiu tempo ŝajnis esti 474 el ili.
De la dokumentaro ni scias, ke defaŭlte, la servilo ClickHouse aŭskultas HTTP sur la haveno 8123. Tial, por vidi kio estas enhavita en la tabeloj, sufiĉas ruli ion kiel ĉi tiu SQL-demando:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Kiel rezulto de ekzekuto de la peto, kio probable povus esti resendita estas tio, kio estas indikita en la ekrankopio sube:
De la ekrankopio estas klare, ke la informoj en la kampo ĈAPITROJ enhavas datumojn pri la loko (latitudo kaj longitudo) de la uzanto, lia IP-adreso, informoj pri la aparato de kiu li konektis al la servo, OS-versio, ktp.
Se iu venis en la kapon iomete modifi la SQL-demandon, ekzemple, jene:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
tiam io simila al la personaj datumoj de dungitoj povus esti resendita, nome: plena nomo, dato de naskiĝo, sekso, imposta identiga numero, registriĝo kaj reala loĝloko-adresoj, telefonnumeroj, postenoj, retadresoj kaj multe pli:
Ĉiuj ĉi tiuj informoj de la supra ekrankopio tre similas al la HR-datumoj de 1C: Enterprise 8.3.
Rigardante pli detale la parametron API_USER_TOKEN vi povus pensi, ke ĉi tio estas "labora" ĵetono, per kiu vi povas fari diversajn agojn nome de la uzanto, inkluzive de akiri liajn personajn datumojn. Sed kompreneble mi ne povas diri ĉi tion.
Nuntempe ne ekzistas informo, ke la servilo ClickHouse ankoraŭ estas libere alirebla ĉe la sama IP-adreso.
fonto: www.habr.com