من در مورد کشف پایگاههای اطلاعاتی با دسترسی آزاد تقریباً در تمام کشورهای جهان زیاد مینویسم، اما تقریباً هیچ خبری از پایگاههای اطلاعاتی روسی در مالکیت عمومی باقی نمانده است. هر چند اخیرا در مورد «دست کرملین» که یک محقق هلندی از کشف آن در بیش از 2000 پایگاه داده باز وحشت داشت.
ممکن است این تصور اشتباه وجود داشته باشد که همه چیز در روسیه عالی است و صاحبان پروژه های بزرگ آنلاین روسیه رویکردی مسئولانه برای ذخیره داده های کاربر دارند. من عجله دارم که این افسانه را با استفاده از این مثال از بین ببرم.
سرویس پزشکی آنلاین روسی DOC+ ظاهراً موفق شد پایگاه داده ClickHouse را با گزارشهای دسترسی در دسترس عموم ترک کند. متأسفانه، گزارشها آنقدر دقیق به نظر میرسند که اطلاعات شخصی کارمندان، شرکا و مشتریان سرویس ممکن است به بیرون درز کند.
اول چیزهای مهم...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
با من به عنوان صاحب کانال تلگرام "یکی از خوانندگان کانال که مایل بود ناشناس بماند، تماس گرفت و به معنای واقعی کلمه موارد زیر را گزارش کرد:
یک سرور ClickHouse باز در اینترنت کشف شد که متعلق به شرکت doc+ است. آدرس IP سرور با آدرس IP که دامنه docplus.ru روی آن پیکربندی شده است مطابقت دارد.
از ویکی پدیا: DOC+ (New Medicine LLC) یک شرکت پزشکی روسی است که خدماتی را در زمینه پزشکی از راه دور، تماس با پزشک در خانه، ذخیره سازی و پردازش ارائه می دهد. داده های پزشکی شخصی. این شرکت سرمایه گذاری هایی را از Yandex دریافت کرد.
با قضاوت بر اساس اطلاعات جمعآوریشده، پایگاهداده ClickHouse واقعاً آزادانه در دسترس بود و هر کسی که آدرس IP را میدانست، میتوانست دادههایی را از آن دریافت کند. احتمالاً معلوم شد که این دادهها گزارشهای دسترسی به سرویس هستند.
همانطور که در تصویر بالا مشاهده می کنید، علاوه بر وب سرور www.docplus.ru و سرور ClickHouse (پورت 9000)، پایگاه داده MongoDB در همان آدرس IP (که ظاهراً چیزی در آن وجود ندارد) باز است. جالب هست).
تا آنجا که من می دانم، موتور جستجوی Shodan.io برای کشف سرور ClickHouse (در مورد من جداگانه نوشتم) همراه با یک فیلمنامه خاص ، که پایگاه داده یافت شده را از نظر عدم احراز هویت بررسی کرد و تمام جداول آن را فهرست کرد. در آن زمان به نظر می رسید تعداد آنها 474 نفر باشد.
از مستندات می دانیم که به طور پیش فرض، سرور ClickHouse به HTTP در پورت 8123 گوش می دهد. بنابراین، برای دیدن آنچه در جداول موجود است، کافی است چیزی شبیه به این پرس و جوی SQL را اجرا کنید:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]در نتیجه اجرای درخواست، آنچه احتمالاً می تواند برگردانده شود همان چیزی است که در تصویر زیر نشان داده شده است:
از اسکرین شات مشخص است که اطلاعات در این زمینه وجود دارد سرصفحه ها حاوی داده هایی در مورد مکان (طول و عرض جغرافیایی) کاربر، آدرس IP او، اطلاعات مربوط به دستگاهی که از آن به سرویس متصل شده، نسخه سیستم عامل و غیره است.
اگر به فکر کسی افتاد که کوئری SQL را کمی تغییر دهد، مثلاً به این صورت:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
پس از آن چیزی شبیه به اطلاعات شخصی کارکنان می تواند بازگردانده شود، یعنی: نام کامل، تاریخ تولد، جنسیت، شماره شناسایی مالیاتی، آدرس ثبت نام و محل واقعی اقامت، شماره تلفن، موقعیت، آدرس ایمیل و موارد دیگر:
تمام این اطلاعات از اسکرین شات بالا بسیار شبیه به داده های منابع انسانی 1C: Enterprise 8.3 است.
نگاهی دقیق تر به پارامتر API_USER_TOKEN ممکن است فکر کنید که این یک نشانه "کار" است که با آن می توانید اقدامات مختلفی را از طرف کاربر انجام دهید، از جمله به دست آوردن اطلاعات شخصی او. اما البته نمی توانم این را بگویم.
در حال حاضر هیچ اطلاعاتی مبنی بر اینکه سرور ClickHouse همچنان آزادانه در همان آدرس IP قابل دسترسی است وجود ندارد.
منبع: www.habr.com