Escribo moito sobre o descubrimento de bases de datos de libre acceso en case todos os países do mundo, pero case non quedan noticias sobre as bases de datos rusas no dominio público. Aínda que recentemente sobre a "man do Kremlin", que un investigador holandés tivo medo de descubrir en máis de 2000 bases de datos abertas.
Pode haber unha idea errónea de que todo é xenial en Rusia e que os propietarios de grandes proxectos en liña rusos adoptan un enfoque responsable para almacenar os datos dos usuarios. Apresurarme a desmentir este mito usando este exemplo.
Ao parecer, o servizo médico ruso en liña DOC+ conseguiu deixar a base de datos ClickHouse cos rexistros de acceso dispoñibles publicamente. Desafortunadamente, os rexistros parecen tan detallados que poderían filtrarse datos persoais de empregados, socios e clientes do servizo.
Primeiro primeiro...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Comigo, como propietario da canle de Telegram "", un lector da canle que quería permanecer no anonimato púxose en contacto e informou literalmente do seguinte:
Descubriuse un servidor ClickHouse aberto en Internet, que pertence á empresa doc+. O enderezo IP do servidor coincide co enderezo IP no que está configurado o dominio docplus.ru.
De Wikipedia: DOC+ (New Medicine LLC) é unha empresa médica rusa que ofrece servizos no campo da telemedicina, chamando a un médico na casa, almacenando e procesando datos médicos persoais. A empresa recibiu investimentos de Yandex.
A xulgar pola información recollida, a base de datos ClickHouse era de feito de libre acceso e calquera persoa, coñecendo o enderezo IP, podía obter datos dela. Estes datos presumiblemente resultaron ser rexistros de acceso ao servizo.
Como podes ver na imaxe superior, ademais do servidor web www.docplus.ru e do servidor ClickHouse (porto 9000), a base de datos MongoDB está aberta de par en par no mesmo enderezo IP (no que, ao parecer, non hai nada). interesante).
Polo que sei, o motor de busca Shodan.io utilizouse para descubrir o servidor ClickHouse (aproximadamente Escribín por separado) xunto cun guión especial , que comprobou a base de datos atopada por falta de autenticación e enumerou todas as súas táboas. Nese momento parecía que había 474 deles.
Pola documentación sabemos que, por defecto, o servidor ClickHouse escoita HTTP no porto 8123. Polo tanto, para ver o que contén as táboas, abonda con executar algo como esta consulta SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Como resultado de executar a solicitude, o que probablemente se podería devolver é o que se indica na seguinte captura de pantalla:
Desde a captura de pantalla queda claro que a información no campo CABECERAS contén datos sobre a localización (latitud e lonxitude) do usuario, o seu enderezo IP, información sobre o dispositivo desde o que se conectou ao servizo, a versión do SO, etc.
Se a alguén se lle ocorreu modificar lixeiramente a consulta SQL, por exemplo, así:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
entón poderíase devolver algo similar aos datos persoais dos empregados, a saber: nome completo, data de nacemento, sexo, número de identificación fiscal, enderezos de rexistro e lugar de residencia real, números de teléfono, postos, enderezos de correo electrónico e moito máis:
Toda esta información da captura de pantalla anterior é moi similar aos datos de recursos humanos de 1C: Enterprise 8.3.
Botando unha ollada máis atenta ao parámetro API_USER_TOKEN podería pensar que se trata dun token "de traballo" co que pode realizar diversas accións en nome do usuario, incluíndo a obtención dos seus datos persoais. Pero claro que non podo dicir isto.
Polo momento non hai información de que o servidor ClickHouse aínda sexa de libre acceso no mesmo enderezo IP.
Fonte: www.habr.com