Escribo mucho sobre el descubrimiento de bases de datos de libre acceso en casi todos los países del mundo, pero casi no hay noticias sobre las bases de datos rusas de dominio público. aunque recientemente sobre la “mano del Kremlin”, que un investigador holandés tuvo miedo de descubrir en más de 2000 bases de datos abiertas.
Puede haber una idea errónea de que en Rusia todo va bien y que los propietarios de grandes proyectos rusos en línea adoptan un enfoque responsable al almacenar los datos de los usuarios. Me apresuro a desacreditar este mito con este ejemplo.
El servicio médico en línea ruso DOC+ aparentemente logró dejar la base de datos de ClickHouse con registros de acceso a disposición del público. Desafortunadamente, los registros parecen tan detallados que podrían haberse filtrado datos personales de empleados, socios y clientes del servicio.
Todo en orden ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Conmigo, como dueño del canal Telegram "", un lector del canal que deseaba permanecer en el anonimato se puso en contacto y reportó literalmente lo siguiente:
En Internet se ha descubierto un servidor ClickHouse abierto que pertenece a la empresa doc+. La dirección IP del servidor coincide con la dirección IP en la que está configurado el dominio docplus.ru.
De Wikipedia: DOC+ (New Medicine LLC) es una empresa médica rusa que presta servicios en el campo de la telemedicina, llamando a un médico a domicilio, almacenando y procesando datos médicos personales. La empresa recibió inversiones de Yandex.
A juzgar por la información recopilada, la base de datos de ClickHouse era de libre acceso y cualquiera, conociendo la dirección IP, podía obtener datos de ella. Es de suponer que estos datos resultaron ser registros de acceso al servicio.
Como puede ver en la imagen de arriba, además del servidor web www.docplus.ru y el servidor ClickHouse (puerto 9000), la base de datos MongoDB está abierta de par en par en la misma dirección IP (en la que, aparentemente, no hay nada interesante).
Hasta donde yo sé, el motor de búsqueda Shodan.io se utilizó para descubrir el servidor ClickHouse (aproximadamente Escribí por separado) junto con un guión especial. , que verificó la base de datos encontrada por falta de autenticación y enumeró todas sus tablas. En ese momento parecía haber 474 de ellos.
Por la documentación sabemos que, de forma predeterminada, el servidor ClickHouse escucha HTTP en el puerto 8123. Por tanto, para ver lo que contienen las tablas, basta con ejecutar algo como esta consulta SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Como resultado de ejecutar la solicitud, lo que probablemente se podría devolver es lo que se indica en la siguiente captura de pantalla:
De la captura de pantalla queda claro que la información en el campo ENCABEZADOS contiene datos sobre la ubicación (latitud y longitud) del usuario, su dirección IP, información sobre el dispositivo desde el que se conectó al servicio, versión del sistema operativo, etc.
Si a alguien se le ocurrió modificar ligeramente la consulta SQL, por ejemplo, así:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
entonces se podría devolver algo similar a los datos personales de los empleados, a saber: nombre completo, fecha de nacimiento, sexo, número de identificación fiscal, dirección de registro y lugar de residencia real, números de teléfono, cargos, direcciones de correo electrónico y mucho más:
Toda esta información de la captura de pantalla anterior es muy similar a los datos de recursos humanos de 1C: Enterprise 8.3.
Observando más de cerca el parámetro API_USER_TOKEN Se podría pensar que se trata de un token "funcional" con el que se pueden realizar diversas acciones en nombre del usuario, incluida la obtención de sus datos personales. Pero, por supuesto, no puedo decir esto.
Por el momento no hay información de que todavía se pueda acceder libremente al servidor de ClickHouse en la misma dirección IP.
Fuente: habr.com