Scríobhaim go leor faoi aimsiú bunachair shonraí atá inrochtana go saor i mbeagnach gach tír den domhan, ach níl beagnach aon nuacht faoi bhunachair shonraí na Rúise fágtha san fhearann poiblí. Cé gur le déanaí faoi “lámh an Kremlin,” a raibh faitíos ar thaighdeoir Ollannach a fháil amach i níos mó ná 2000 bunachar sonraí oscailte.
D'fhéadfadh go mbeadh míthuiscint ann go bhfuil gach rud iontach sa Rúis agus glacann úinéirí tionscadail mhóra ar líne na Rúise cur chuige freagrach maidir le sonraí úsáideoirí a stóráil. Déanaim hasten chun an miotas seo a dhíbirt ag baint úsáide as an sampla seo.
Is cosúil gur éirigh le seirbhís leighis ar líne na Rúise DOC+ bunachar sonraí ClickHouse a fhágáil agus logaí rochtana ar fáil go poiblí. Ar an drochuair, tá cuma chomh mion ar na logaí go bhféadfadh sonraí pearsanta fostaithe, comhpháirtithe agus chliaint na seirbhíse a bheith sceitheadh.
Na chéad rudaí ar dtús ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Le liom, mar úinéir an chainéil Telegram "", tháinig léitheoir cainéil ar mhian leis fanacht gan ainm i dteagmháil agus thuairiscigh sé an méid seo a leanas go litriúil:
Thángthas ar fhreastalaí ClickHouse oscailte ar an Idirlíon, a bhaineann leis an gcuideachta doc+. Meaitseálann seoladh IP an fhreastalaí an seoladh IP a bhfuil an fearann docplus.ru cumraithe dó.
Ó Vicipéid: Is cuideachta leighis Rúiseach é DOC+ (New Medicine LLC) a sholáthraíonn seirbhísí i réimse na teileamhíochaine, ag glaoch ar dhochtúir sa bhaile, ag stóráil agus ag próiseáil. sonraí leighis pearsanta. Fuair an chuideachta infheistíochtaí ó Yandex.
Ag breithiúnas leis an bhfaisnéis a bailíodh, bhí an bunachar sonraí ClickHouse inrochtana go héasca, agus d'fhéadfadh aon duine, a raibh an seoladh IP aige, sonraí a fháil uaidh. Is dócha gur logaí rochtana seirbhíse a bhí sna sonraí seo.
Mar a fheiceann tú ón bpictiúr thuas, chomh maith leis an bhfreastalaí gréasáin www.docplus.ru agus an freastalaí ClickHouse (port 9000), tá bunachar sonraí MongoDB crochta go leathan ar an seoladh IP céanna (ina bhfuil, de réir dealraimh, nach bhfuil aon rud ann. suimiúil).
Chomh fada agus is eol dom, baineadh úsáid as inneall cuardaigh Shodan.io chun an freastalaí ClickHouse a fháil amach (thart ar Scríobh mé ar leithligh) i gcomhar le script speisialta , a sheiceáil an bunachar sonraí aimsithe le haghaidh easpa fíordheimhnithe agus liostaigh a táblaí go léir. Ag an am sin ba chosúil go raibh 474 acu.
Ó na doiciméid tá a fhios againn go n-éisteann freastalaí ClickHouse le HTTP ar phort 8123 de réir réamhshocraithe. Mar sin, chun a bhfuil sna táblaí a fheiceáil, is leor rud éigin mar an cheist SQL seo a rith:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Mar thoradh ar an iarratas a fhorghníomhú, is dócha gurb é an rud a d’fhéadfaí a thabhairt ar ais ná an méid a léirítear sa screenshot thíos:
Ón screenshot tá sé soiléir go bhfuil an t-eolas sa réimse CINNTEOIRÍ ina bhfuil sonraí maidir le suíomh (domhanleithead agus domhanfhad) an úsáideora, a sheoladh IP, faisnéis faoin bhfeiste ónar cheangail sé leis an tseirbhís, leagan OS, etc.
Má tharla sé do dhuine éigin an t-iarratas SQL a mhionathrú, mar shampla, mar seo:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
ansin d’fhéadfaí rud éigin cosúil le sonraí pearsanta na bhfostaithe a chur ar ais, eadhon: ainm iomlán, dáta breithe, inscne, uimhir aitheantais cánach, seoltaí clárúcháin agus áit chónaithe iarbhír, uimhreacha gutháin, poist, seoltaí ríomhphoist agus go leor eile:
Tá an fhaisnéis seo go léir ón ngabháil scáileáin thuas an-chosúil leis na sonraí AD ó 1C: Fiontar 8.3.
Breathnú níos géire ar an bparaiméadar API_USER_TOKEN b’fhéidir go gceapfá gur comhartha “oibre” é seo lena bhféadfaidh tú gníomhartha éagsúla a dhéanamh thar ceann an úsáideora, lena n-áirítear a shonraí pearsanta a fháil. Ach ar ndóigh ní féidir liom é seo a rá.
Faoi láthair níl aon fhaisnéis ann go bhfuil an freastalaí ClickHouse fós inrochtana go héasca ag an seoladh IP céanna.
Foinse: will.com