Kirjoitan paljon vapaasti käytettävissä olevien tietokantojen löytämisestä lähes kaikissa maailman maissa, mutta venäläisistä tietokannoista ei ole juuri mitään uutisia julkisessa käytössä. Vaikka äskettäin "Kremlin kädestä", jonka hollantilainen tutkija pelkäsi löytääkseen yli 2000 XNUMX avoimesta tietokannasta.
Saattaa olla väärä käsitys, että Venäjällä kaikki on hienosti ja venäläisten suurten verkkoprojektien omistajat ottavat vastuullisen lähestymistavan käyttäjätietojen tallentamiseen. Kiirehdin kumoamaan tämän myytin tällä esimerkillä.
Venäläinen online-lääketieteen palvelu DOC+ onnistui ilmeisesti jättämään ClickHouse-tietokannan käyttölokineen julkisesti saataville. Valitettavasti lokit näyttävät niin yksityiskohtaisilta, että palvelun työntekijöiden, kumppaneiden ja asiakkaiden henkilötietoja olisi voinut vuotaa.
Ensimmäiset asiat ensin...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Minun kanssani Telegram-kanavan omistajana "", kanavan lukija, joka halusi pysyä nimettömänä, otti yhteyttä ja ilmoitti kirjaimellisesti seuraavaa:
Internetistä löydettiin avoin ClickHouse-palvelin, joka kuuluu yritykselle doc+. Palvelimen IP-osoite vastaa IP-osoitetta, johon docplus.ru-toimialue on määritetty.
Wikipedia: DOC+ (New Medicine LLC) on venäläinen lääketieteen yritys, joka tarjoaa telelääketieteen palveluita, lääkärin kutsumista kotiin, varastointiin ja käsittelyyn. henkilökohtaisia lääketieteellisiä tietoja. Yritys sai sijoituksia Yandexiltä.
Kerätyistä tiedoista päätellen ClickHouse-tietokanta oli todellakin vapaasti käytettävissä ja kuka tahansa IP-osoitteen tietävä sai siitä tietoa. Nämä tiedot ilmeisesti osoittautuivat palvelun käyttölokeiksi.
Kuten yllä olevasta kuvasta näkyy, www.docplus.ru-verkkopalvelimen ja ClickHouse-palvelimen (portti 9000) lisäksi MongoDB-tietokanta roikkuu auki samassa IP-osoitteessa (jossa ei ilmeisesti ole mitään mielenkiintoista).
Sikäli kuin tiedän, Shodan.io-hakukonetta käytettiin ClickHouse-palvelimen löytämiseen (n Kirjoitin erikseen) erityisen käsikirjoituksen yhteydessä , joka tarkisti löydetyssä tietokannassa todennuksen puutteen ja listasi kaikki sen taulukot. Tuolloin heitä näytti olevan 474.
Dokumentaatiosta tiedämme, että ClickHouse-palvelin kuuntelee oletusarvoisesti HTTP:tä portissa 8123. Siksi, jotta voit nähdä, mitä taulukot sisältävät, riittää, että suoritat jotain tämän kaltaista SQL-kyselyä:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Pyynnön suorittamisen seurauksena voidaan todennäköisesti palauttaa se, mikä näkyy alla olevassa kuvakaappauksessa:
Kuvakaappauksesta on selvää, että tiedot kentässä OTSIKKOJA sisältää tietoja käyttäjän sijainnista (leveysaste ja pituusaste), hänen IP-osoitteensa, tiedot laitteesta, josta hän liittyi palveluun, käyttöjärjestelmäversiosta jne.
Jos joku sai mieleen muuttaa hieman SQL-kyselyä esimerkiksi näin:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
silloin voitaisiin palauttaa jotain samanlaista kuin työntekijöiden henkilötiedot, nimittäin: koko nimi, syntymäaika, sukupuoli, verotunnus, rekisteröinti- ja todellisen asuinpaikan osoitteet, puhelinnumerot, asemat, sähköpostiosoitteet ja paljon muuta:
Kaikki nämä yllä olevan kuvakaappauksen tiedot ovat hyvin samankaltaisia kuin HR-tiedot 1C: Enterprise 8.3:sta.
Tarkastellaan parametria tarkemmin API_USER_TOKEN saatat ajatella, että tämä on "toimiva" tunnus, jolla voit suorittaa erilaisia toimintoja käyttäjän puolesta, mukaan lukien hänen henkilötietojensa hankkiminen. Mutta en tietenkään voi sanoa tätä.
Tällä hetkellä ei ole tietoa, että ClickHouse-palvelin olisi edelleen vapaasti käytettävissä samalla IP-osoitteella.
Lähde: will.com