Scrivo molto sulla scoperta di database liberamente accessibili in quasi tutti i paesi del mondo, ma non ci sono quasi notizie sui database russi rimasti di pubblico dominio. Anche se di recente sulla “mano del Cremlino”, che un ricercatore olandese ha avuto paura di scoprire in più di 2000 database aperti.
Potrebbe esserci un'idea sbagliata secondo cui tutto va bene in Russia e i proprietari di grandi progetti online russi adottano un approccio responsabile nella memorizzazione dei dati degli utenti. Mi affretto a sfatare questo mito usando questo esempio.
Sembra che il servizio medico online russo DOC+ sia riuscito a rendere pubblici i registri di accesso del database di ClickHouse. Sfortunatamente, i registri sembrano così dettagliati che potrebbero essere trapelati dati personali di dipendenti, partner e clienti del servizio.
Tutto in ordine ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Con me, in quanto titolare del canale Telegram"", un lettore del canale che ha voluto rimanere anonimo si è messo in contatto e ha riferito letteralmente quanto segue:
In Internet è stato scoperto un server ClickHouse aperto della ditta doc+. L'indirizzo IP del server corrisponde all'indirizzo IP su cui è configurato il dominio docplus.ru.
Da Wikipedia: DOC+ (New Medicine LLC) è un'azienda medica russa che fornisce servizi nel campo della telemedicina, chiamata del medico a domicilio, archiviazione ed elaborazione dati medici personali. La società ha ricevuto investimenti da Yandex.
A giudicare dalle informazioni raccolte, il database di ClickHouse era infatti liberamente accessibile e chiunque, conoscendo l'indirizzo IP, poteva ricavarne dati. Presumibilmente questi dati si sono rivelati registri di accesso al servizio.
Come puoi vedere dall'immagine sopra, oltre al server web www.docplus.ru e al server ClickHouse (porta 9000), il database MongoDB è completamente aperto sullo stesso indirizzo IP (in cui, a quanto pare, non c'è nulla interessante).
Per quanto ne so, il motore di ricerca Shodan.io è stato utilizzato per scoprire il server ClickHouse (circa Ho scritto separatamente) insieme a una sceneggiatura speciale , che ha controllato la mancanza di autenticazione del database trovato ed ha elencato tutte le sue tabelle. A quel tempo sembravano essere 474.
Dalla documentazione sappiamo che per impostazione predefinita il server ClickHouse ascolta HTTP sulla porta 8123. Pertanto, per vedere cosa è contenuto nelle tabelle, è sufficiente eseguire qualcosa di simile a questa query SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]A seguito dell'esecuzione della richiesta, ciò che probabilmente potrebbe essere restituito è quanto indicato nello screenshot qui sotto:
Dallo screenshot è chiaro che le informazioni nel campo INTESTAZIONI contiene dati sulla posizione (latitudine e longitudine) dell'utente, il suo indirizzo IP, informazioni sul dispositivo da cui si è connesso al servizio, versione del sistema operativo, ecc.
Se a qualcuno venisse in mente di modificare leggermente la query SQL, ad esempio, in questo modo:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
quindi potrebbero essere restituiti qualcosa di simile ai dati personali dei dipendenti, ovvero: nome completo, data di nascita, sesso, codice fiscale, indirizzi di registrazione e di residenza effettiva, numeri di telefono, posizioni, indirizzi email e molto altro:
Tutte queste informazioni dallo screenshot qui sopra sono molto simili ai dati HR di 1C: Enterprise 8.3.
Diamo uno sguardo più da vicino al parametro API_USER_TOKEN potresti pensare che si tratti di un token “funzionante” con il quale è possibile eseguire diverse azioni per conto dell'utente, compreso ottenere i suoi dati personali. Ma ovviamente questo non posso dirlo.
Al momento non ci sono informazioni che il server ClickHouse sia ancora liberamente accessibile allo stesso indirizzo IP.
Fonte: habr.com