Na rubuta da yawa game da gano bayanan bayanan da ake iya samun damar shiga cikin kusan dukkanin ƙasashen duniya, amma kusan babu wani labari game da bayanan bayanan Rasha da aka bari a cikin jama'a. Ko da yake kwanan nan game da "hannun Kremlin," wanda wani mai bincike dan kasar Holland ya tsorata don ganowa a cikin fiye da 2000 bude bayanai.
Za a iya samun kuskuren cewa duk abin da ke da kyau a Rasha kuma masu mallakar manyan ayyukan kan layi na Rasha suna ɗaukar hanyar da ta dace don adana bayanan mai amfani. Ina gaggawar warware wannan tatsuniya ta amfani da wannan misali.
Da alama sabis ɗin likitancin kan layi na Rasha DOC+ ya sami nasarar barin bayanan ClickHouse tare da rajistar shiga a bainar jama'a. Abin baƙin ciki, rajistan ayyukan sun yi kama da daki-daki har an iya fitar da bayanan sirri na ma'aikata, abokan hulɗa da abokan cinikin sabis ɗin.
Abu na farko da farko...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Tare da ni, a matsayin mai mallakar tashar Telegram "", wani mai karanta tashar da ya so a sakaya sunansa ya tuntube shi kuma ya ba da rahoto a zahiri kamar haka:
An gano buɗaɗɗen uwar garken ClickHouse akan Intanet, wanda na kamfanin doc+ ne. Adireshin IP na uwar garken yayi daidai da adireshin IP wanda aka saita yankin docplus.ru.
Daga Wikipedia: DOC + (New Medicine LLC) wani kamfani ne na likitancin Rasha wanda ke ba da sabis a fagen telemedicine, kiran likita a gida, ajiya da sarrafawa. bayanan likita na sirri. Kamfanin ya sami hannun jari daga Yandex.
Yin la'akari da bayanan da aka tattara, da ClickHouse database yana da damar samun damar gaske, kuma kowa, sanin adireshin IP, zai iya samun bayanai daga gare ta. Wataƙila wannan bayanan sun zama bayanan shiga sabis.
Kamar yadda kake gani daga hoton da ke sama, ban da uwar garken yanar gizo na www.docplus.ru da uwar garken ClickHouse (tashar jiragen ruwa 9000), bayanan MongoDB yana rataye a buɗe a kan adireshin IP iri ɗaya (wanda, a fili, babu wani abu). ban sha'awa).
Kamar yadda na sani, an yi amfani da injin binciken Shodan.io don gano sabar ClickHouse (game da Na rubuta dabam) tare da rubutu na musamman , wanda ya bincika bayanan da aka samo don rashin tantancewa kuma ya jera dukkan tebur. A lokacin da alama akwai 474 daga cikinsu.
Daga takaddun mun san cewa ta tsohuwa, uwar garken ClickHouse yana sauraron HTTP akan tashar jiragen ruwa 8123. Don haka, don ganin abin da ke ƙunshe a cikin allunan, ya isa ya gudanar da wani abu kamar wannan tambayar SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Sakamakon aiwatar da buƙatar, abin da wataƙila za a iya dawo da shi shine abin da aka nuna a hoton da ke ƙasa:
Daga hoton allo ya bayyana a sarari cewa bayanan da ke cikin filin KAI ya ƙunshi bayanai game da wurin (latitude da longitude) na mai amfani, adireshin IP ɗin sa, bayanai game da na'urar da ya haɗa da sabis ɗin, sigar OS, da sauransu.
Idan ya faru ga wani ya ɗan canza tambayar SQL, misali, kamar haka:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
sannan za a iya dawo da wani abu mai kama da bayanan sirri na ma'aikata, wato: cikakken suna, ranar haihuwa, jinsi, lambar tantance haraji, rajista da ainihin wurin zama, lambobin waya, matsayi, adiresoshin imel da ƙari mai yawa:
Duk waɗannan bayanan daga hoton da ke sama sunyi kama da bayanan HR daga 1C: Enterprise 8.3.
Yin duban kusa da siga API_USER_TOKEN za ku iya tunanin cewa wannan alama ce ta "aiki" da za ku iya yin ayyuka daban-daban a madadin mai amfani, gami da samun bayanan sirrinsa. Amma ba shakka ba zan iya cewa wannan ba.
A halin yanzu babu wani bayani cewa uwar garken ClickHouse har yanzu ana samun dama ga adireshin IP iri ɗaya.
source: www.habr.com