Ik skriuw in protte oer de ûntdekking fan frij tagonklike databases yn hast alle lannen fan 'e wrâld, mar der is hast gjin nijs oer Russyske databases oerbleaun yn it publike domein. Hoewol't koartlyn oer de "hân fan it Kremlin", dy't in Nederlânske ûndersiker benaud wie om te ûntdekken yn mear as 2000 iepen databases.
D'r kin in misfetting wêze dat alles geweldich is yn Ruslân en de eigners fan grutte Russyske online projekten nimme in ferantwurde oanpak foar it bewarjen fan brûkersgegevens. Ik haast om dizze myte te ûntbinen mei dit foarbyld.
De Russyske online medyske tsjinst DOC+ hat it blykber slagge om de ClickHouse-database te ferlitten mei tagongslogs iepenbier beskikber. Spitigernôch sjogge de logs sa detaillearre dat persoanlike gegevens fan meiwurkers, partners en kliïnten fan 'e tsjinst koenen hawwe lekken.
Earste dingen earst ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Mei my, as de eigner fan it Telegram-kanaal "", in kanaallêzer dy't anonym bliuwe woe naam kontakt en rapportearre letterlik it folgjende:
Op it ynternet waard in iepen ClickHouse-tsjinner ûntdutsen, dy't heart by it bedriuw doc+. It IP-adres fan de tsjinner komt oerien mei it IP-adres wêrop it docplus.ru-domein is ynsteld.
Fan Wikipedia: DOC+ (New Medicine LLC) is in Russysk medysk bedriuw dat tsjinsten leveret op it mêd fan telemedisyn, in dokter thús skilje, opslach en ferwurkjen persoanlike medyske gegevens. It bedriuw krige ynvestearrings fan Yandex.
Te oardieljen nei de sammele ynformaasje, wie de ClickHouse-database yndie frij tagonklik, en elkenien, dy't it IP-adres wist, koe der gegevens fan krije. Dizze gegevens blykte nei alle gedachten te wêzen tsjinst tagong logs.
Lykas jo kinne sjen fan 'e foto hjirboppe, neist de webserver www.docplus.ru en de ClickHouse-tsjinner (poarte 9000), hinget de MongoDB-database wiid iepen op itselde IP-adres (wêryn blykber neat is nijsgjirrich).
Foar safier't ik wit, waard de Shodan.io sykmasine brûkt om de ClickHouse-tsjinner te ûntdekken (sawat Ik skreau apart) yn kombinaasje mei in spesjaal skript , dy't de fûn databank kontrolearre foar gebrek oan autentikaasje en al syn tabellen neamde. Yn dy tiid liken der 474 fan te wêzen.
Fanút de dokumintaasje witte wy dat de ClickHouse-tsjinner standert harket nei HTTP op poarte 8123. Dêrom, om te sjen wat der yn 'e tabellen is, is it genôch om sa'n SQL-query út te fieren:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]As gefolch fan it útfieren fan it fersyk, wat wierskynlik kin wurde weromjûn is wat is oanjûn yn 'e skermprint hjirûnder:
Ut de skermprint is dúdlik dat de ynformaasje yn it fjild HEADERS befettet gegevens oer de lokaasje (breedtegraad en lingtegraad) fan 'e brûker, syn IP-adres, ynformaasje oer it apparaat wêrfan hy ferbûn is mei de tsjinst, OS-ferzje, ensfh.
As it by ien kaam om de SQL-query wat te feroarjen, bygelyks sa:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
dan soe wat ferlykber mei de persoanlike gegevens fan meiwurkers weromjûn wurde kinne, nammentlik: folsleine namme, bertedatum, geslacht, belestingidentifikaasjenûmer, registraasje- en feitlike wenplakadressen, telefoannûmers, posysjes, e-mailadressen en folle mear:
Al dizze ynformaasje fan 'e skermôfbylding hjirboppe is heul ferlykber mei de HR-gegevens fan 1C: Enterprise 8.3.
Nim in tichterby nei de parameter API_USER_TOKEN jo kinne tinke dat dit in "wurkjende" token is wêrmei jo ferskate aksjes kinne útfiere út namme fan 'e brûker, ynklusyf it krijen fan syn persoanlike gegevens. Mar ik kin dit fansels net sizze.
Op it stuit is der gjin ynformaasje dat de ClickHouse-tsjinner noch frij tagonklik is op itselde IP-adres.
Boarne: www.habr.com