Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Saya banyak menulis tentang penemuan database yang dapat diakses secara bebas di hampir semua negara di dunia, tetapi hampir tidak ada berita tentang database Rusia yang tersisa di domain publik. Meskipun baru-baru ini saya menulis tentang “tangan Kremlin”, yang membuat peneliti Belanda takut untuk menemukannya di lebih dari 2000 database terbuka.

Mungkin ada kesalahpahaman bahwa semuanya baik-baik saja di Rusia dan pemilik proyek online besar Rusia mengambil pendekatan yang bertanggung jawab dalam menyimpan data pengguna. Saya segera menghilangkan prasangka mitos ini dengan menggunakan contoh ini.

Layanan medis online Rusia DOC+ rupanya berhasil meninggalkan database ClickHouse dengan log akses tersedia untuk umum. Sayangnya, log tersebut terlihat sangat detail sehingga data pribadi karyawan, mitra, dan klien layanan tersebut bisa saja bocor.

Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Semuanya dalam urutan ...

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.

Bersama saya, sebagai pemilik saluran Telegram "Kebocoran informasi", seorang pembaca saluran yang ingin tetap anonim menghubungi dan melaporkan hal berikut:

Server ClickHouse terbuka ditemukan di Internet, milik perusahaan doc+. Alamat IP server cocok dengan alamat IP yang dikonfigurasikan domain docplus.ru.

Dari Wikipedia: DOC+ (New Medicine LLC) adalah perusahaan medis Rusia yang menyediakan layanan di bidang telemedis, panggilan dokter di rumah, penyimpanan dan pemrosesan data medis pribadi. Perusahaan menerima investasi dari Yandex.

Dilihat dari informasi yang dikumpulkan, database ClickHouse memang dapat diakses secara bebas, dan siapa pun, yang mengetahui alamat IP, dapat memperoleh data darinya. Data ini mungkin merupakan log akses layanan.

Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Seperti yang Anda lihat dari gambar di atas, selain server web www.docplus.ru dan server ClickHouse (port 9000), database MongoDB terbuka lebar pada alamat IP yang sama (di mana, tampaknya, tidak ada apa-apa menarik).

Sejauh yang saya tahu, mesin pencari Shodan.io digunakan untuk menemukan server ClickHouse (sekitar Bagaimana peneliti menemukan database terbuka Saya menulisnya secara terpisah) bersamaan dengan naskah khusus Klik Bawah, yang memeriksa database yang ditemukan karena kurangnya otentikasi dan mencantumkan semua tabelnya. Saat itu sepertinya ada 474 orang.

Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Dari dokumentasi kita mengetahui bahwa secara default, server ClickHouse mendengarkan HTTP pada port 8123. Oleh karena itu, untuk melihat apa yang ada di dalam tabel, cukup menjalankan query SQL seperti ini:

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]

Sebagai hasil dari mengeksekusi permintaan tersebut, apa yang mungkin dapat dikembalikan adalah apa yang ditunjukkan pada gambar di bawah:

Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Dari screenshot tersebut terlihat jelas informasi yang ada di lapangan KEPALA berisi data tentang lokasi (lintang dan bujur) pengguna, alamat IP-nya, informasi tentang perangkat yang ia sambungkan ke layanan, versi OS, dll.

Jika terpikir oleh seseorang untuk sedikit mengubah query SQL, misalnya seperti ini:

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’

maka yang serupa dengan data pribadi pegawai dapat dikembalikan yaitu: nama lengkap, tanggal lahir, jenis kelamin, NPWP, alamat registrasi dan tempat tinggal sebenarnya, nomor telepon, jabatan, alamat email dan masih banyak lagi:

Bagaimana data pribadi pasien dan dokter bisa rusak akibat terbukanya database ClickHouse

Semua informasi dari tangkapan layar di atas sangat mirip dengan data SDM dari 1C:Enterprise 8.3.

Melihat lebih dekat parameternya API_USER_TOKEN Anda mungkin berpikir bahwa ini adalah token yang “berfungsi” yang dengannya Anda dapat melakukan berbagai tindakan atas nama pengguna, termasuk mendapatkan data pribadinya. Tapi tentu saja saya tidak bisa mengatakan ini.

Saat ini belum ada informasi bahwa server ClickHouse masih dapat diakses secara bebas pada alamat IP yang sama.

Sumber: www.habr.com

Beli hosting yang andal untuk situs dengan perlindungan DDoS, server VPS VDS 🔥 Beli hosting website andal dengan perlindungan DDoS, server VPS VDS | ProHoster