Puno pišem o otkriću slobodno dostupnih baza podataka u gotovo svim zemljama svijeta, ali o ruskim bazama podataka gotovo da nema vijesti u javnosti. Iako nedavno o “ruci Kremlja”, koju je nizozemski istraživač uplašio otkriti u više od 2000 otvorenih baza podataka.
Možda postoji zabluda da je u Rusiji sve super, a vlasnici velikih ruskih online projekata odgovorno pristupaju pohranjivanju korisničkih podataka. Ovim primjerom žurim razotkriti ovaj mit.
Ruska internetska medicinska služba DOC+ očito je uspjela ostaviti javno dostupnom pristupnu bazu podataka ClickHouse. Nažalost, dnevnici izgledaju toliko detaljno da bi mogli procuriti osobni podaci zaposlenika, partnera i klijenata usluge.
Prvo najprije...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Sa mnom, kao vlasnikom Telegram kanala "“, javio se čitatelj kanala koji je želio ostati anoniman i javio doslovno sljedeće:
Na internetu je otkriven otvoreni ClickHouse server koji pripada tvrtki doc+. IP adresa poslužitelja odgovara IP adresi na koju je konfigurirana domena docplus.ru.
Iz Wikipedije: DOC+ (New Medicine LLC) je ruska medicinska tvrtka koja pruža usluge u području telemedicine, pozivanja liječnika kod kuće, skladištenja i obrade osobni medicinski podaci. Tvrtka je primila ulaganja od Yandexa.
Sudeći prema prikupljenim informacijama, baza podataka ClickHousea doista je bila slobodno dostupna te je svatko tko je znao IP adresu mogao iz nje dobiti podatke. Pretpostavlja se da su ti podaci zapisnici pristupa usluzi.
Kao što možete vidjeti na gornjoj slici, osim web poslužitelja www.docplus.ru i poslužitelja ClickHouse (port 9000), MongoDB baza podataka visi širom otvorena na istoj IP adresi (u kojoj, očito, nema ničega zanimljiv).
Koliko ja znam, tražilica Shodan.io korištena je za otkrivanje poslužitelja ClickHouse (oko Napisao sam odvojeno) u kombinaciji s posebnim scenarijem , koji je provjerio pronađenu bazu podataka zbog nedostatka autentifikacije i izlistao sve njezine tablice. Tada se činilo da ih je 474.
Iz dokumentacije znamo da prema zadanim postavkama poslužitelj ClickHouse sluša HTTP na portu 8123. Stoga, da biste vidjeli što je sadržano u tablicama, dovoljno je pokrenuti nešto poput ovog SQL upita:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Kao rezultat izvršenja zahtjeva, ono što bi se vjerojatno moglo vratiti je ono što je naznačeno na snimci zaslona u nastavku:
Iz snimke zaslona jasno je da su podaci u polju ZAGLAVLJA sadrži podatke o lokaciji (geografskoj širini i dužini) korisnika, njegovoj IP adresi, informaciji o uređaju s kojeg se spojio na uslugu, verziji OS-a itd.
Ako je nekome palo na pamet malo modificirati SQL upit, npr. ovako:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
tada bi se moglo vratiti nešto slično osobnim podacima zaposlenika, a to su: puno ime i prezime, datum rođenja, spol, porezni identifikacijski broj, adresa registracije i stvarnog mjesta stanovanja, telefonski brojevi, pozicije, e-mail adrese i još mnogo toga:
Sve ove informacije s gornje snimke zaslona vrlo su slične HR podacima iz 1C: Enterprise 8.3.
Pažljivije promatrajući parametar API_USER_TOKEN mogli biste pomisliti da se radi o "radnom" tokenu s kojim možete obavljati razne radnje u ime korisnika, uključujući i dobivanje njegovih osobnih podataka. Ali to, naravno, ne mogu reći.
Trenutno nema informacija da je ClickHouse server još uvijek slobodno dostupan na istoj IP adresi.
Izvor: www.habr.com