Kirjutan palju vabalt ligipääsetavate andmebaaside avastamisest peaaegu kõigis maailma riikides, kuid Venemaa andmebaaside kohta pole avalikku omandisse jäänud peaaegu ühtegi uudist. Kuigi hiljuti "Kremli käest", mida üks Hollandi teadlane ehmatas enam kui 2000 avatud andmebaasist avastada.
Võib olla eksiarvamus, et Venemaal on kõik suurepärane ja suurte Venemaa veebiprojektide omanikud suhtuvad kasutajaandmete salvestamisse vastutustundlikult. Kiirustan seda müüti selle näite abil ümber lükkama.
Venemaa online-meditsiiniteenistus DOC+ suutis ilmselt jätta ClickHouse'i andmebaasi koos juurdepääsulogidega avalikult kättesaadavaks. Paraku näevad logid nii detailsed välja, et võib-olla võivad lekkida teenuse töötajate, partnerite ja klientide isikuandmed.
Esimesed asjad kõigepealt...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Minuga kui Telegrami kanali omanikuga "", võttis anonüümseks jääda soovinud kanali lugeja ühendust ja teatas sõna otseses mõttes järgmist:
Internetist avastati avatud ClickHouse server, mis kuulub firmale doc+. Serveri IP-aadress ühtib IP-aadressiga, millele domeen docplus.ru on konfigureeritud.
Wikipediast: DOC+ (New Medicine LLC) on Venemaa meditsiiniettevõte, mis pakub teenuseid telemeditsiini, arsti koju kutsumise, ladustamise ja töötlemise valdkonnas. isiklikud meditsiinilised andmed. Ettevõte sai investeeringuid Yandexilt.
Kogutud info põhjal otsustades oli ClickHouse'i andmebaas tõepoolest vabalt ligipääsetav ja sealt sai andmeid hankida igaüks, kes teadis IP-aadressi. Need andmed osutusid arvatavasti teenuse juurdepääsu logideks.
Nagu ülaltoodud pildilt näha, ripub MongoDB andmebaas lisaks www.docplus.ru veebiserverile ja ClickHouse serverile (port 9000) samal IP-aadressil (milles ilmselt midagi pole huvitav).
Minu teada kasutati ClickHouse serveri avastamiseks Shodan.io otsingumootorit (umbes Kirjutasin eraldi) koos spetsiaalse skriptiga , mis kontrollis leitud andmebaasi autentimise puudumise suhtes ja loetles kõik selle tabelid. Sel ajal tundus neid olevat 474.
Dokumentatsioonist teame, et vaikimisi kuulab ClickHouse'i server HTTP-d pordis 8123. Seetõttu piisab tabelites sisalduva nägemiseks sellise SQL-päringu käivitamisest:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Päringu täitmise tulemusena võidakse tõenäoliselt tagastada see, mis on näidatud alloleval ekraanipildil:
Ekraanipildilt on selge, et väljal olev teave PÄISED sisaldab andmeid kasutaja asukoha (laius- ja pikkuskraad), tema IP-aadressi, teavet seadme kohta, millelt ta teenusega ühendas, operatsioonisüsteemi versiooni jne.
Kui keegi peaks SQL-päringut veidi muutma, näiteks järgmiselt:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
siis saaks tagastada midagi sarnast töötajate isikuandmetega, nimelt: täisnimi, sünniaeg, sugu, maksukohustuslasena registreerimisnumber, registreerimis- ja tegeliku elukoha aadressid, telefoninumbrid, ametikohad, meiliaadressid ja palju muud:
Kogu see ülaltoodud ekraanipildi teave on väga sarnane 1C: Enterprise 8.3 HR-andmetega.
Parameetrit lähemalt vaadates API_USER_TOKEN võite arvata, et see on "töötav" märk, millega saate kasutaja nimel teha erinevaid toiminguid, sealhulgas hankida tema isikuandmeid. Aga seda ma muidugi öelda ei saa.
Hetkel puudub info, et ClickHouse'i server oleks samal IP-aadressil endiselt vabalt ligipääsetav.
Allikas: www.habr.com