Ես շատ եմ գրում աշխարհի գրեթե բոլոր երկրներում ազատ հասանելի տվյալների շտեմարանների հայտնաբերման մասին, սակայն հանրային սեփականությունում գրեթե ոչ մի նորություն ռուսական տվյալների բազաների մասին չի մնացել։ Չնայած վերջերս «Կրեմլի ձեռքի» մասին, որը հոլանդացի հետազոտողը վախեցավ հայտնաբերել ավելի քան 2000 բաց տվյալների բազայում:
Կարող է լինել թյուր կարծիք, որ Ռուսաստանում ամեն ինչ հիանալի է, և ռուսական խոշոր առցանց նախագծերի սեփականատերերը պատասխանատու մոտեցում են ցուցաբերում օգտատերերի տվյալները պահելու հարցում: Ես շտապում եմ վերացնել այս առասպելը` օգտագործելով այս օրինակը:
Ռուսական առցանց բժշկական DOC+ ծառայությանը, ըստ երևույթին, հաջողվել է հեռանալ ClickHouse տվյալների բազայից՝ հասանելի մուտքի տեղեկամատյաններով: Ցավոք, տեղեկամատյաններն այնքան մանրամասն տեսք ունեն, որ ծառայության աշխատակիցների, գործընկերների և հաճախորդների անձնական տվյալները կարող էին արտահոսք լինել:
Առաջին բաները առաջին հերթին ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Ինձ հետ՝ որպես Telegram ալիքի սեփականատեր»«Ալիքի ընթերցողը, ով ցանկացել է անհայտ մնալ, կապ է հաստատել և հայտնել բառացիորեն հետևյալը.
Համացանցում հայտնաբերվել է բաց ClickHouse սերվեր, որը պատկանում է doc+ ընկերությանը։ Սերվերի IP հասցեն համապատասխանում է IP հասցեին, որին կազմաձևված է docplus.ru տիրույթը:
Վիքիպեդիայից. DOC+-ը (New Medicine LLC) ռուսական բժշկական ընկերություն է, որը ծառայություններ է մատուցում հեռաբժշկության ոլորտում՝ բժիշկ կանչելով տանը, պահեստավորում և մշակում։ անձնական բժշկական տվյալներ. Ընկերությունը ներդրումներ է ստացել Yandex-ից։
Դատելով հավաքագրված տեղեկություններից՝ ClickHouse տվյալների բազան իսկապես ազատ հասանելի էր, և ցանկացած ոք, իմանալով IP հասցեն, կարող էր տվյալներ ստանալ դրանից։ Այս տվյալները, ենթադրաբար, պարզվել է, որ ծառայության մուտքի մատյաններ են։
Ինչպես երևում է վերևի նկարից, բացի www.docplus.ru վեբ սերվերից և ClickHouse սերվերից (պորտ 9000), MongoDB տվյալների բազան լայնորեն բաց է նույն IP հասցեի վրա (որում, ըստ երևույթին, ոչինչ չկա: հետաքրքիր):
Որքան ես գիտեմ, Shodan.io որոնիչն օգտագործվել է ClickHouse սերվերը հայտնաբերելու համար (մոտ Ես գրել եմ առանձին) հատուկ սցենարի հետ միասին , որը ստուգեց հայտնաբերված տվյալների բազան նույնականացման բացակայության համար և թվարկեց դրա բոլոր աղյուսակները: Այն ժամանակ նրանք կարծես 474-ն էին։
Փաստաթղթերից մենք գիտենք, որ լռելյայնորեն, ClickHouse սերվերը լսում է HTTP 8123 նավահանգստում: Հետևաբար, տեսնելու համար, թե ինչ է պարունակվում աղյուսակներում, բավական է գործարկել այս SQL հարցման նման մի բան.
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Հարցման կատարման արդյունքում այն, ինչ հավանաբար կարող է վերադարձվել, այն է, ինչ նշված է ստորև ներկայացված սքրինշոթում.
Սքրինշոթից պարզ է դառնում, որ տեղեկատվությունը դաշտում է ԳԼԽԱՎՈՐՆԵՐ պարունակում է տվյալներ օգտատիրոջ գտնվելու վայրի (լայնության և երկայնության), նրա IP հասցեի, սարքի մասին, որից նա միացել է ծառայությանը, ՕՀ տարբերակին և այլն:
Եթե ինչ-որ մեկի մտքով անցավ մի փոքր փոփոխել SQL հարցումը, օրինակ, այսպես.
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
այնուհետև կարող է վերադարձվել աշխատողների անձնական տվյալներին նման մի բան, այն է՝ լրիվ անունը, ծննդյան ամսաթիվը, սեռը, հարկային նույնականացման համարը, գրանցման և փաստացի բնակության վայրի հասցեները, հեռախոսահամարները, պաշտոնները, էլեկտրոնային փոստի հասցեները և շատ ավելին.
Վերևի սքրինշոթի այս ամբողջ տեղեկատվությունը շատ նման է 1C-ի HR տվյալներին: Enterprise 8.3:
Ավելի ուշադիր նայելով պարամետրին API_USER_TOKEN կարող եք մտածել, որ սա «աշխատանքային» նշան է, որով կարող եք օգտատիրոջ անունից կատարել տարբեր գործողություններ, ներառյալ նրա անձնական տվյալները ստանալը: Բայց, իհարկե, սա չեմ կարող ասել։
Այս պահին տեղեկություններ չկան, որ ClickHouse սերվերը դեռևս ազատ հասանելի է նույն IP հասցեով:
Source: www.habr.com