私は世界のほぼすべての国で自由にアクセスできるデータベースが発見されたことについてよく書いていますが、パブリックドメインに残されているロシアのデータベースに関するニュースはほとんどありません。 最近ではありますが
ロシアではすべてが素晴らしく、ロシアの大規模オンライン プロジェクトの所有者はユーザー データの保存に対して責任あるアプローチをとっているという誤解があるかもしれません。 この例を使って、この通説の誤りを暴きたいと思います。
ロシアのオンライン医療サービス DOC+ は、アクセス ログを公開した状態で ClickHouse データベースを残すことに成功したようです。 残念ながら、ログは非常に詳細に見えるため、サービスの従業員、パートナー、顧客の個人データが漏洩した可能性があります。
順番にすべて...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Telegram チャンネルのオーナーとして私と一緒に」
doc+ 社に属する、オープンな ClickHouse サーバーがインターネット上で発見されました。 サーバーの IP アドレスは、docplus.ru ドメインが構成されている IP アドレスと一致します。
ウィキペディアから: DOC+ (New Medicine LLC) は、遠隔医療、自宅への医師の呼び出し、保管および処理の分野でサービスを提供するロシアの医療会社です。 個人の医療データ。 同社はヤンデックスから投資を受けた。
収集された情報から判断すると、ClickHouse データベースには確かに自由にアクセスでき、IP アドレスを知っていれば誰でもそこからデータを取得できました。 このデータはおそらくサービスのアクセスログであることが判明しました。
上の図からわかるように、www.docplus.ru Web サーバーと ClickHouse サーバー (ポート 9000) に加えて、MongoDB データベースが同じ IP アドレス上で大きく開いたままになっています (明らかに、その中には何もありません)。面白い)。
私の知る限り、ClickHouse サーバーの発見には Shodan.io 検索エンジンが使用されました (約
ドキュメントから、デフォルトでは、ClickHouse サーバーはポート 8123 で HTTP をリッスンすることがわかります。 したがって、テーブルに何が含まれているかを確認するには、次の SQL クエリのようなものを実行するだけで十分です。
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]
リクエストを実行した結果、おそらく以下のスクリーンショットに示されているものが返される可能性があります。
スクリーンショットから、フィールド内の情報は明らかです。 ヘッダー ユーザーの位置 (緯度と経度)、IP アドレス、サービスに接続したデバイスに関する情報、OS バージョンなどのデータが含まれます。
たとえば、次のように SQL クエリを少し変更することを思いついたとします。
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
その場合、従業員の個人データに類似したものが返される可能性があります。つまり、氏名、生年月日、性別、納税者番号、登録住所と実際の居住地の住所、電話番号、役職、電子メール アドレスなどです。
上のスクリーンショットの情報はすべて、1C: Enterprise 8.3 の HR データと非常によく似ています。
パラメータを詳しく見てみる API_USER_TOKEN これは、ユーザーに代わって個人データの取得などのさまざまなアクションを実行できる「機能する」トークンであると考えるかもしれません。 しかし、もちろんそんなことは言えません。
現時点では、ClickHouse サーバーが依然として同じ IP アドレスで自由にアクセスできるという情報はありません。
出所: habr.com