Saya banyak menulis tentang penemuan database yang dapat diakses secara bebas di hampir semua negara di dunia, tetapi hampir tidak ada berita tentang database Rusia yang tersisa di domain publik. Meskipun baru-baru ini tentang βtangan Kremlinβ, yang membuat peneliti Belanda takut untuk menemukannya di lebih dari 2000 database terbuka.
Mungkin ada kesalahpahaman bahwa semuanya baik-baik saja di Rusia dan pemilik proyek online besar Rusia mengambil pendekatan yang bertanggung jawab dalam menyimpan data pengguna. Saya segera menghilangkan prasangka mitos ini dengan menggunakan contoh ini.
Layanan medis online Rusia DOC+ rupanya berhasil meninggalkan database ClickHouse dengan log akses tersedia untuk umum. Sayangnya, log tersebut terlihat sangat detail sehingga data pribadi karyawan, mitra, dan klien layanan tersebut bisa saja bocor.
Semuanya dalam urutan ...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Bersama saya, sebagai pemilik saluran Telegram "", seorang pembaca saluran yang ingin tetap anonim menghubungi dan melaporkan hal berikut:
Server ClickHouse terbuka ditemukan di Internet, milik perusahaan doc+. Alamat IP server cocok dengan alamat IP yang dikonfigurasikan domain docplus.ru.
Dari Wikipedia: DOC+ (New Medicine LLC) adalah perusahaan medis Rusia yang menyediakan layanan di bidang telemedis, panggilan dokter di rumah, penyimpanan dan pemrosesan data medis pribadi. Perusahaan menerima investasi dari Yandex.
Dilihat dari informasi yang dikumpulkan, database ClickHouse memang dapat diakses secara bebas, dan siapa pun, yang mengetahui alamat IP, dapat memperoleh data darinya. Data ini mungkin merupakan log akses layanan.
Seperti yang Anda lihat dari gambar di atas, selain server web www.docplus.ru dan server ClickHouse (port 9000), database MongoDB terbuka lebar pada alamat IP yang sama (di mana, tampaknya, tidak ada apa-apa menarik).
Sejauh yang saya tahu, mesin pencari Shodan.io digunakan untuk menemukan server ClickHouse (sekitar Saya menulisnya secara terpisah) bersamaan dengan naskah khusus , yang memeriksa database yang ditemukan karena kurangnya otentikasi dan mencantumkan semua tabelnya. Saat itu sepertinya ada 474 orang.
Dari dokumentasi kita mengetahui bahwa secara default, server ClickHouse mendengarkan HTTP pada port 8123. Oleh karena itu, untuk melihat apa yang ada di dalam tabel, cukup menjalankan query SQL seperti ini:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]Sebagai hasil dari mengeksekusi permintaan tersebut, apa yang mungkin dapat dikembalikan adalah apa yang ditunjukkan pada gambar di bawah:
Dari screenshot tersebut terlihat jelas informasi yang ada di lapangan KEPALA berisi data tentang lokasi (lintang dan bujur) pengguna, alamat IP-nya, informasi tentang perangkat yang ia sambungkan ke layanan, versi OS, dll.
Jika terpikir oleh seseorang untuk sedikit mengubah query SQL, misalnya seperti ini:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
maka yang serupa dengan data pribadi pegawai dapat dikembalikan yaitu: nama lengkap, tanggal lahir, jenis kelamin, NPWP, alamat registrasi dan tempat tinggal sebenarnya, nomor telepon, jabatan, alamat email dan masih banyak lagi:
Semua informasi dari tangkapan layar di atas sangat mirip dengan data SDM dari 1C:Enterprise 8.3.
Melihat lebih dekat parameternya API_USER_TOKEN Anda mungkin berpikir bahwa ini adalah token yang βberfungsiβ yang dengannya Anda dapat melakukan berbagai tindakan atas nama pengguna, termasuk mendapatkan data pribadinya. Tapi tentu saja saya tidak bisa mengatakan ini.
Saat ini belum ada informasi bahwa server ClickHouse masih dapat diakses secara bebas pada alamat IP yang sama.
Sumber: www.habr.com