Ես շատ եմ գրում աշխարհի գրեթե բոլոր երկրներում ազատ հասանելի տվյալների շտեմարանների հայտնաբերման մասին, սակայն հանրային սեփականությունում գրեթե ոչ մի նորություն ռուսական տվյալների բազաների մասին չի մնացել։ Չնայած վերջերս
Կարող է լինել թյուր կարծիք, որ Ռուսաստանում ամեն ինչ հիանալի է, և ռուսական խոշոր առցանց նախագծերի սեփականատերերը պատասխանատու մոտեցում են ցուցաբերում օգտատերերի տվյալները պահելու հարցում: Ես շտապում եմ վերացնել այս առասպելը` օգտագործելով այս օրինակը:
Ռուսական առցանց բժշկական DOC+ ծառայությանը, ըստ երևույթին, հաջողվել է հեռանալ ClickHouse տվյալների բազայից՝ հասանելի մուտքի տեղեկամատյաններով: Ցավոք, տեղեկամատյաններն այնքան մանրամասն տեսք ունեն, որ ծառայության աշխատակիցների, գործընկերների և հաճախորդների անձնական տվյալները կարող էին արտահոսք լինել:
Առաջին բաները առաջին հերթին ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Ինձ հետ՝ որպես Telegram ալիքի սեփականատեր»
Համացանցում հայտնաբերվել է բաց ClickHouse սերվեր, որը պատկանում է doc+ ընկերությանը։ Սերվերի IP հասցեն համապատասխանում է IP հասցեին, որին կազմաձևված է docplus.ru տիրույթը:
Վիքիպեդիայից. DOC+-ը (New Medicine LLC) ռուսական բժշկական ընկերություն է, որը ծառայություններ է մատուցում հեռաբժշկության ոլորտում՝ բժիշկ կանչելով տանը, պահեստավորում և մշակում։ անձնական բժշկական տվյալներ. Ընկերությունը ներդրումներ է ստացել Yandex-ից։
Դատելով հավաքագրված տեղեկություններից՝ ClickHouse տվյալների բազան իսկապես ազատ հասանելի էր, և ցանկացած ոք, իմանալով IP հասցեն, կարող էր տվյալներ ստանալ դրանից։ Այս տվյալները, ենթադրաբար, պարզվել է, որ ծառայության մուտքի մատյաններ են։
Ինչպես երևում է վերևի նկարից, բացի www.docplus.ru վեբ սերվերից և ClickHouse սերվերից (պորտ 9000), MongoDB տվյալների բազան լայնորեն բաց է նույն IP հասցեի վրա (որում, ըստ երևույթին, ոչինչ չկա: հետաքրքիր):
Որքան ես գիտեմ, Shodan.io որոնիչն օգտագործվել է ClickHouse սերվերը հայտնաբերելու համար (մոտ
Փաստաթղթերից մենք գիտենք, որ լռելյայնորեն, ClickHouse սերվերը լսում է HTTP 8123 նավահանգստում: Հետևաբար, տեսնելու համար, թե ինչ է պարունակվում աղյուսակներում, բավական է գործարկել այս SQL հարցման նման մի բան.
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]
Հարցման կատարման արդյունքում այն, ինչ հավանաբար կարող է վերադարձվել, այն է, ինչ նշված է ստորև ներկայացված սքրինշոթում.
Սքրինշոթից պարզ է դառնում, որ տեղեկատվությունը դաշտում է ԳԼԽԱՎՈՐՆԵՐ պարունակում է տվյալներ օգտատիրոջ գտնվելու վայրի (լայնության և երկայնության), նրա IP հասցեի, սարքի մասին, որից նա միացել է ծառայությանը, ՕՀ տարբերակին և այլն:
Եթե ինչ-որ մեկի մտքով անցավ մի փոքր փոփոխել SQL հարցումը, օրինակ, այսպես.
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
այնուհետև կարող է վերադարձվել աշխատողների անձնական տվյալներին նման մի բան, այն է՝ լրիվ անունը, ծննդյան ամսաթիվը, սեռը, հարկային նույնականացման համարը, գրանցման և փաստացի բնակության վայրի հասցեները, հեռախոսահամարները, պաշտոնները, էլեկտրոնային փոստի հասցեները և շատ ավելին.
Վերևի սքրինշոթի այս ամբողջ տեղեկատվությունը շատ նման է 1C-ի HR տվյալներին: Enterprise 8.3:
Ավելի ուշադիր նայելով պարամետրին API_USER_TOKEN կարող եք մտածել, որ սա «աշխատանքային» նշան է, որով կարող եք օգտատիրոջ անունից կատարել տարբեր գործողություններ, ներառյալ նրա անձնական տվյալները ստանալը: Բայց, իհարկե, սա չեմ կարող ասել։
Այս պահին տեղեկություններ չկան, որ ClickHouse սերվերը դեռևս ազատ հասանելի է նույն IP հասցեով:
Source: www.habr.com