Asko idazten dut munduko ia herrialde guztietan libreki eskura daitezkeen datu-baseen aurkikuntzari buruz, baina ez dago ia berririk Errusiako datu-baseei buruz domeinu publikoan geratzen. Duela gutxi bada ere "Kremlinen eskua"ri buruz, holandar ikertzaile batek 2000 datu-base ireki baino gehiagotan aurkitzeak beldurtu zuena.
Errusian dena bikaina dela uste oker bat egon daiteke eta Errusiako lineako proiektu handien jabeek erabiltzaileen datuak gordetzeko modu arduratsuan hartzen dute. Adibide hau erabiliz mito hau ezeztatzen azkartzen naiz.
Errusiako lineako DOC+ mediku zerbitzuak, itxuraz, ClickHouse datu-basea sarbide-erregistroak publikoki eskuragarri izatea lortu zuen. Zoritxarrez, erregistroak hain zehatzak dirudite, zerbitzuko langileen, bazkideen eta bezeroen datu pertsonalak filtratu zitezkeela.
Lehen gauzak lehen...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Nirekin, Telegram kanalaren jabe gisa "", anonimoa mantendu nahi zuen kanaleko irakurle batek jarri zuen harremanetan eta literalki honako hau jakinarazi zuen:
Interneten ClickHouse zerbitzari ireki bat aurkitu zen, doc+ enpresarena dena. Zerbitzariaren IP helbidea bat dator docplus.ru domeinua konfiguratuta dagoen IP helbidearekin.
Wikipediatik: DOC+ (New Medicine LLC) telemedikuntzaren alorrean zerbitzuak eskaintzen dituen Errusiako mediku konpainia da, etxean medikuari deitzen diona, biltegiratzea eta prozesatzea. datu mediko pertsonalak. Konpainiak Yandex-en inbertsioak jaso zituen.
Bildutako informazioa ikusita, ClickHouse datu-basea doako sarbidea zen, eta edonork, IP helbidea ezagututa, bertatik datuak lor zezakeen. Datu hauek zerbitzurako sarbideen erregistroak izan ziren.
Goiko irudian ikusten denez, www.docplus.ru web zerbitzariaz eta ClickHouse zerbitzariaz gain (9000 ataka), MongoDB datu-basea zabalik dago IP helbide berean (horretan, itxuraz, ez dago ezer). interesgarria).
Dakidanez, Shodan.io bilatzailea ClickHouse zerbitzaria ezagutzeko erabili zen (gutxi gorabehera Bereiz idatzi nuen) gidoi berezi batekin batera , aurkitutako datu-basea autentifikazio falta egiaztatu zuen eta bere taula guztiak zerrendatu zituen. Garai hartan 474 omen ziren.
Dokumentaziotik badakigu lehenespenez, ClickHouse zerbitzariak HTTP entzuten duela 8123 atakan. Hori dela eta, tauletan dagoena ikusteko, nahikoa da SQL kontsulta hau bezalako zerbait exekutatu:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]Eskaera exekutatzearen ondorioz, ziurrenik itzuli daitekeena beheko pantaila-argazkian adierazten dena da:
Pantaila-argazkitik argi dago eremuan dagoen informazioa GOIBURUAK erabiltzailearen kokapenari buruzko datuak (latitudea eta longitudea), bere IP helbidea, zerbitzura konektatu zen gailuaren informazioa, OS bertsioa, etab.
Norbaiti bururatu bazaio SQL kontsulta apur bat aldatzea, adibidez, honela:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
orduan langileen datu pertsonalen antzeko zerbait itzul liteke, hau da: izen-abizenak, jaioteguna, sexua, identifikazio fiskaleko zenbakia, errolda eta benetako bizilekuaren helbideak, telefono zenbakiak, karguak, helbide elektronikoak eta askoz gehiago:
Goiko pantaila-argazkiko informazio hori guztia 1C-ko HR datuen oso antzekoa da: Enterprise 8.3.
Parametroa gertutik begiratuta API_USER_TOKEN Pentsa dezakezu "laneko" token bat dela, eta horrekin erabiltzailearen izenean hainbat ekintza egin ditzakezu, bere datu pertsonalak eskuratzea barne. Baina, noski, ezin dut hau esan.
Momentuz ez dago informaziorik ClickHouse zerbitzaria IP helbide berean libreki eskura daitekeela dionik.
Iturria: www.habr.com