プロホスト > ブログ > 行政 > オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

私は世界のほぼすべての国で自由にアクセスできるデータベースが発見されたことについてよく書いていますが、パブリックドメインに残されているロシアのデータベースに関するニュースはほとんどありません。 最近ではありますが 私が書きました オランダの研究者が2000以上のオープンデータベースから発見して恐れをなした「クレムリンの手」について。

ロシアではすべてが素晴らしく、ロシアの大規模オンライン プロジェクトの所有者はユーザー データの保存に対して責任あるアプローチをとっているという誤解があるかもしれません。 この例を使って、この通説の誤りを暴きたいと思います。

ロシアのオンライン医療サービス DOC+ は、アクセス ログを公開した状態で ClickHouse データベースを残すことに成功したようです。 残念ながら、ログは非常に詳細に見えるため、サービスの従業員、パートナー、顧客の個人データが漏洩した可能性があります。

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

順番にすべて...

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.

Telegram チャンネルのオーナーとして私と一緒に」情報漏洩」と匿名を希望したチャンネル読者から連絡があり、文字通り次のように報告しました。

doc+ 社に属する、オープンな ClickHouse サーバーがインターネット上で発見されました。 サーバーの IP アドレスは、docplus.ru ドメインが構成されている IP アドレスと一致します。

ウィキペディアから: DOC+ (New Medicine LLC) は、遠隔医療、自宅への医師の呼び出し、保管および処理の分野でサービスを提供するロシアの医療会社です。 個人の医療データ。 同社はヤンデックスから投資を受けた。

収集された情報から判断すると、ClickHouse データベースには確かに自由にアクセスでき、IP アドレスを知っていれば誰でもそこからデータを取得できました。 このデータはおそらくサービスのアクセスログであることが判明しました。

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

上の図からわかるように、www.docplus.ru Web サーバーと ClickHouse サーバー (ポート 9000) に加えて、MongoDB データベースが同じ IP アドレス上で大きく開いたままになっています (明らかに、その中には何もありません)。面白い)。

私の知る限り、ClickHouse サーバーの発見には Shodan.io 検索エンジンが使用されました (約 研究者がオープンデータベースを発見する方法 別途書きました)特別なスクリプトと組み合わせて クリックダウン、見つかったデータベースに認証がないことがチェックされ、そのすべてのテーブルがリストされます。 当時は474人もいたようです。

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

ドキュメントから、デフォルトでは、ClickHouse サーバーはポート 8123 で HTTP をリッスンすることがわかります。 したがって、テーブルに何が含まれているかを確認するには、次の SQL クエリのようなものを実行するだけで十分です。

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]

リクエストを実行した結果、おそらく以下のスクリーンショットに示されているものが返される可能性があります。

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

スクリーンショットから、フィールド内の情報は明らかです。 ヘッダー ユーザーの位置 (緯度と経度)、IP アドレス、サービスに接続したデバイスに関する情報、OS バージョンなどのデータが含まれます。

たとえば、次のように SQL クエリを少し変更することを思いついたとします。

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’

その場合、従業員の個人データに類似したものが返される可能性があります。つまり、氏名、生年月日、性別、納税者番号、登録住所と実際の居住地の住所、電話番号、役職、電子メール アドレスなどです。

オープンな ClickHouse データベースにより、患者と医師の個人データがどのように被害を受ける可能性があるか

上のスクリーンショットの情報はすべて、1C: Enterprise 8.3 の HR データと非常によく似ています。

パラメータを詳しく見てみる API_USER_TOKEN これは、ユーザーに代わって個人データの取得などのさまざまなアクションを実行できる「機能する」トークンであると考えるかもしれません。 しかし、もちろんそんなことは言えません。

現時点では、ClickHouse サーバーが依然として同じ IP アドレスで自由にアクセスできるという情報はありません。

出所: habr.com

コメントを追加します