Sokat írok a szabadon hozzáférhető adatbázisok felfedezéséről a világ szinte minden országában, de az orosz adatbázisokról szinte semmi hír nem maradt nyilvánosan. Bár mostanában a „Kreml kezéről”, amelyet egy holland kutató ijedten fedezett fel több mint 2000 nyitott adatbázisban.
Tévhit lehet, hogy Oroszországban minden nagyszerű, és a nagy orosz online projektek tulajdonosai felelősségteljes megközelítést alkalmaznak a felhasználói adatok tárolására. Ezzel a példával sietek megcáfolni ezt a mítoszt.
A DOC+ orosz online orvosi szolgálatnak nyilvánvalóan sikerült nyilvánosan elérhetővé tennie a ClickHouse adatbázist a hozzáférési naplókkal. Sajnos a naplók olyan részletesnek tűnnek, hogy a szolgáltatás alkalmazottainak, partnereinek és ügyfeleinek személyes adatai kiszivároghattak.
Először is...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Velem, mint a Telegram csatorna tulajdonosával "", egy névtelen maradni kívánó csatornaolvasó felvette a kapcsolatot, és szó szerint a következőkről számolt be:
Az interneten egy nyitott ClickHouse szervert fedeztek fel, amely a doc+ céghez tartozik. A szerver IP-címe megegyezik azzal az IP-címmel, amelyre a docplus.ru tartomány be van állítva.
A Wikipédiából: A DOC+ (New Medicine LLC) egy orosz orvosi cég, amely távorvoslási, otthoni orvoshívási, tárolási és feldolgozási szolgáltatásokat nyújt. személyes egészségügyi adatok. A társaság a Yandextől kapott befektetéseket.
Az összegyűjtött információk alapján a ClickHouse adatbázis valóban szabadon hozzáférhető volt, és az IP-cím ismeretében bárki hozzájuthatott belőle adatokhoz. Ezek az adatok feltehetően szolgáltatás-hozzáférési naplók.
Amint a fenti képen látható, a www.docplus.ru webszerveren és a ClickHouse szerveren (9000-es port) kívül a MongoDB adatbázis is tárva-nyitva lóg ugyanazon az IP-címen (amelyben láthatóan nincs semmi érdekes).
Amennyire én tudom, a Shodan.io keresőt használták a ClickHouse szerver felfedezésére (kb Külön írtam) egy speciális forgatókönyvvel együtt , amely ellenőrizte a talált adatbázist hitelesítés hiányában, és felsorolta az összes tábláját. Akkor úgy tűnt, hogy 474-en voltak.
A dokumentációból tudjuk, hogy alapértelmezés szerint a ClickHouse szerver a 8123-as porton figyeli a HTTP-t. Ezért a táblázatok tartalmának megtekintéséhez elegendő futni valami ehhez hasonló SQL lekérdezéshez:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]A kérés végrehajtásának eredményeként valószínűleg az alábbi képernyőképen láthatók adhatók vissza:
A képernyőképen egyértelműen látszik, hogy az információ a területen FEJLÉSZEK adatokat tartalmaz a felhasználó tartózkodási helyéről (szélesség és hosszúság), az IP-címéről, arról az eszközről, amelyről a szolgáltatáshoz csatlakozott, az operációs rendszer verzióját stb.
Ha valakinek eszébe jutott, hogy kissé módosítsa az SQL lekérdezést, például így:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
akkor valami hasonlót lehetne visszaküldeni a munkavállalók személyes adataihoz, nevezetesen: teljes név, születési idő, nem, adóazonosító jel, regisztrációs és tényleges lakcím, telefonszám, beosztás, email cím és még sok más:
A fenti képernyőképen látható összes információ nagyon hasonlít az 1C: Enterprise 8.3 HR-adataira.
Ha közelebbről megnézzük a paramétert API_USER_TOKEN azt gondolhatja, hogy ez egy „működő” token, amellyel különféle műveleteket hajthat végre a felhasználó nevében, beleértve a személyes adatainak megszerzését. De ezt természetesen nem mondhatom el.
Jelenleg nincs információ arról, hogy a ClickHouse szerver továbbra is szabadon elérhető ugyanazon az IP címen.
Forrás: will.com