Ég skrifa mikið um uppgötvun ókeypis aðgengilegra gagnagrunna í næstum öllum löndum heims, en það eru nánast engar fréttir af rússneskum gagnagrunnum eftir á almenningi. Þó nýlega um „hönd Kremlverja“ sem hollenskur vísindamaður var hræddur við að uppgötva í meira en 2000 opnum gagnagrunnum.
Það getur verið misskilningur að allt sé frábært í Rússlandi og eigendur stórra rússneskra netverkefna taka ábyrga nálgun við að geyma notendagögn. Ég flýti mér að afsanna þessa goðsögn með þessu dæmi.
Rússneska netlækningaþjónustan DOC+ tókst greinilega að yfirgefa ClickHouse gagnagrunninn með aðgangsskrám sem eru aðgengilegar almenningi. Því miður eru annálarnir svo ítarlegir að persónuupplýsingar starfsmanna, samstarfsaðila og viðskiptavina þjónustunnar gætu hugsanlega lekið.
Fyrstu hlutir fyrst...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Með mér, sem eiganda Telegram rásarinnar "“, rásalesandi sem vildi vera nafnlaus hafði samband og tilkynnti bókstaflega eftirfarandi:
Opinn ClickHouse netþjónn fannst á netinu sem tilheyrir fyrirtækinu doc+. IP vistfang þjónsins passar við IP tölu sem docplus.ru lénið er stillt á.
Frá Wikipedia: DOC+ (New Medicine LLC) er rússneskt lækningafyrirtæki sem veitir þjónustu á sviði fjarlækninga, hringir í lækni heima, geymslu og vinnslu persónulegar læknisfræðilegar upplýsingar. Fyrirtækið fékk fjárfestingar frá Yandex.
Miðað við upplýsingarnar sem safnað var var ClickHouse gagnagrunnurinn sannarlega aðgengilegur og allir sem vissu IP töluna gátu fengið gögn úr honum. Þessi gögn reyndust væntanlega vera þjónustuaðgangsskrár.
Eins og þú sérð á myndinni hér að ofan, til viðbótar við www.docplus.ru vefþjóninn og ClickHouse netþjóninn (höfn 9000), hangir MongoDB gagnagrunnurinn opinn á sömu IP tölu (þar sem greinilega er ekkert áhugavert).
Eftir því sem ég best veit var Shodan.io leitarvélin notuð til að uppgötva ClickHouse netþjóninn (um Ég skrifaði sérstaklega) í tengslum við sérstakt handrit , sem athugaði fundinn gagnagrunn vegna skorts á auðkenningu og skráði allar töflur hans. Þeir virtust þá vera 474 talsins.
Af skjölunum vitum við að sjálfgefið hlustar ClickHouse þjónninn á HTTP á höfn 8123. Þess vegna, til að sjá hvað er að finna í töflunum, er nóg að keyra eitthvað eins og þessa SQL fyrirspurn:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Sem afleiðing af því að framkvæma beiðnina, það sem gæti líklega verið skilað er það sem tilgreint er á skjámyndinni hér að neðan:
Af skjáskotinu er ljóst að upplýsingarnar í reitnum HÖFUÐAR inniheldur gögn um staðsetningu (breiddar- og lengdargráðu) notanda, IP-tölu hans, upplýsingar um tækið sem hann tengdist þjónustunni frá, stýrikerfisútgáfu o.s.frv.
Ef einhverjum datt í hug að breyta SQL fyrirspurninni lítillega, til dæmis, svona:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
þá gæti eitthvað svipað og persónuupplýsingar starfsmanna skilað sér, þ.e.: fullt nafn, fæðingardagur, kyn, skattanúmer, skráningar- og raunverulegt heimilisföng, símanúmer, stöður, netföng og margt fleira:
Allar þessar upplýsingar frá skjámyndinni hér að ofan eru mjög svipaðar HR gögnum frá 1C: Enterprise 8.3.
Að skoða breytuna nánar API_USER_TOKEN þú gætir haldið að þetta sé „virkur“ tákn sem þú getur framkvæmt ýmsar aðgerðir fyrir hönd notandans, þar á meðal að afla persónuupplýsinga hans. En ég get auðvitað ekki sagt þetta.
Í augnablikinu eru engar upplýsingar um að ClickHouse þjónninn sé enn aðgengilegur á sömu IP tölu.
Heimild: www.habr.com