J'écris beaucoup sur la découverte de bases de données librement accessibles dans presque tous les pays du monde, mais il n'y a presque aucune nouvelle des bases de données russes dans le domaine public. Bien que récemment sur la « main du Kremlin », qu’un chercheur néerlandais a eu peur de découvrir dans plus de 2000 XNUMX bases de données ouvertes.
Il peut y avoir une idée fausse selon laquelle tout va bien en Russie et que les propriétaires de grands projets en ligne russes adoptent une approche responsable en matière de stockage des données des utilisateurs. Je m'empresse de démystifier ce mythe à l'aide de cet exemple.
Le service médical en ligne russe DOC+ a apparemment réussi à rendre publique la base de données ClickHouse avec les journaux d'accès. Malheureusement, les journaux semblent si détaillés que les données personnelles des employés, partenaires et clients du service auraient pu être divulguées.
Tout en ordre...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Avec moi, en tant que propriétaire de la chaîne Telegram "", un lecteur de la chaîne qui a souhaité rester anonyme a pris contact et a rapporté littéralement ce qui suit :
Sur Internet, un serveur ClickHouse ouvert appartenant à la société doc+ a été découvert. L'adresse IP du serveur correspond à l'adresse IP sur laquelle le domaine docplus.ru est configuré.
De Wikipedia: DOC+ (New Medicine LLC) est une société médicale russe fournissant des services dans le domaine de la télémédecine, de l'appel à domicile, du stockage et du traitement. données médicales personnelles. L'entreprise a reçu des investissements de Yandex.
À en juger par les informations collectées, la base de données ClickHouse était en effet librement accessible, et toute personne connaissant l'adresse IP pouvait en obtenir des données. Ces données se sont vraisemblablement avérées être des journaux d’accès au service.
Comme vous pouvez le voir sur l'image ci-dessus, en plus du serveur Web www.docplus.ru et du serveur ClickHouse (port 9000), la base de données MongoDB est grande ouverte sur la même adresse IP (dans laquelle, apparemment, il n'y a rien intéressant).
Autant que je sache, le moteur de recherche Shodan.io a été utilisé pour découvrir le serveur ClickHouse (environ J'ai écrit séparément) en conjonction avec un script spécial , qui a vérifié la base de données trouvée pour le manque d'authentification et a répertorié toutes ses tables. A cette époque, ils semblaient être 474.
D'après la documentation, nous savons que par défaut, le serveur ClickHouse écoute HTTP sur le port 8123. Par conséquent, pour voir ce qui est contenu dans les tables, il suffit d'exécuter quelque chose comme cette requête SQL :
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]À la suite de l'exécution de la requête, ce qui pourrait probablement être renvoyé est ce qui est indiqué dans la capture d'écran ci-dessous :
D'après la capture d'écran, il est clair que les informations contenues dans le champ EN-TÊTES contient des données sur la localisation (latitude et longitude) de l'utilisateur, son adresse IP, des informations sur l'appareil à partir duquel il s'est connecté au service, la version du système d'exploitation, etc.
S'il venait à l'idée de modifier légèrement la requête SQL, par exemple, comme ceci :
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
alors quelque chose de similaire aux données personnelles des employés pourrait être restitué, à savoir : nom complet, date de naissance, sexe, numéro d'identification fiscale, adresses d'enregistrement et de résidence réelle, numéros de téléphone, fonctions, adresses e-mail et bien plus encore :
Toutes ces informations de la capture d'écran ci-dessus sont très similaires aux données RH de 1C : Enterprise 8.3.
En regardant de plus près le paramètre API_USER_TOKEN vous pourriez penser qu'il s'agit d'un jeton « fonctionnel » avec lequel vous pouvez effectuer diverses actions au nom de l'utilisateur, notamment obtenir ses données personnelles. Mais bien sûr, je ne peux pas dire cela.
Pour le moment, aucune information n'indique que le serveur ClickHouse est toujours librement accessible à la même adresse IP.
Source: habr.com