Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Aku nulis akeh babagan panemuan database sing bisa diakses kanthi bebas ing meh kabeh negara ing donya, nanging meh ora ana kabar babagan database Rusia sing isih ana ing domain umum. Senajan bubar wrote babagan "tangan Kremlin," sing ditemokake dening peneliti Walanda ing luwih saka 2000 database mbukak.

Bisa uga ana misconception yen kabeh apik ing Rusia lan pamilik proyek online Rusia sing gedhe njupuk pendekatan sing tanggung jawab kanggo nyimpen data pangguna. Aku cepet-cepet mbantah mitos iki nggunakake conto iki.

Layanan medis online Rusia DOC + ketoke bisa ninggalake database ClickHouse kanthi log akses sing kasedhiya kanggo umum. Sayange, log katon rinci banget yen data pribadhi karyawan, mitra lan klien layanan kasebut bisa uga bocor.

Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Kaping pisanan ...

Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.

Karo aku, minangka pemilik saluran Telegram "Informasi bocor", pamaca saluran sing pengin tetep anonim sesambungan lan nglaporake kanthi harfiah ing ngisor iki:

Server ClickHouse sing mbukak ditemokake ing Internet, sing dadi milik perusahaan doc+. Alamat IP server cocog karo alamat IP sing dikonfigurasi domain docplus.ru.

Saka Wikipedia: DOC + (New Medicine LLC) minangka perusahaan medis Rusia sing nyedhiyakake layanan ing bidang telemedicine, nelpon dhokter ing omah, panyimpenan lan pangolahan. data medis pribadi. Perusahaan nampa investasi saka Yandex.

Miturut informasi sing diklumpukake, database ClickHouse pancen bisa diakses kanthi bebas, lan sapa wae, sing ngerti alamat IP kasebut, bisa entuk data saka iku. Data iki diduga dadi log akses layanan.

Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Minangka sampeyan bisa ndeleng saka gambar ing ndhuwur, saliyane server web www.docplus.ru lan server ClickHouse (port 9000), basis data MongoDB mbukak amba ing alamat IP sing padha (sing, ketoke, ora ana apa-apa. menarik).

Sak ngertiku, mesin telusur Shodan.io digunakake kanggo nemokake server ClickHouse (babagan Carane peneliti nemokake database mbukak Aku nulis kanthi kapisah) bebarengan karo naskah khusus Klik Mudhun, sing mriksa database sing ditemokake kanggo kekurangan otentikasi lan dhaptar kabeh tabel. Ing wektu iku ana 474 wong.

Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Saka dokumentasi, kita ngerti yen kanthi standar, server ClickHouse ngrungokake HTTP ing port 8123. Mulane, kanggo ndeleng apa sing ana ing tabel, cukup kanggo mbukak kaya query SQL iki:

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]

Minangka asil nglakokake panyuwunan kasebut, sing bisa dibalekake yaiku sing dituduhake ing gambar ing ngisor iki:

Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Saka gambar kasebut cetha yen informasi ing lapangan HEADERS ngemot data babagan lokasi (lintang lan bujur) pangguna, alamat IP, informasi babagan piranti sing disambungake menyang layanan kasebut, versi OS, lsp.

Yen ana wong sing rada ngowahi query SQL, contone, kaya iki:

http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’

banjur ana sing meh padha karo data pribadhi karyawan bisa bali, yaiku: jeneng lengkap, tanggal lahir, jenis kelamin, nomer identifikasi pajak, registrasi lan alamat papan panggonan sing nyata, nomer telpon, posisi, alamat email lan liya-liyane:

Kepiye data pribadhi pasien lan dokter bisa kena pengaruh amarga database ClickHouse sing mbukak

Kabeh informasi iki saka gambar ing ndhuwur meh padha karo data HR saka 1C: Enterprise 8.3.

Njupuk dipikir nyedhaki parameter API_USER_TOKEN sampeyan bisa uga mikir yen iki minangka token "kerja" sing sampeyan bisa nindakake macem-macem tumindak atas jenenge pangguna, kalebu entuk data pribadhi. Nanging mesthi aku ora bisa ngomong iki.

Saiki ora ana informasi manawa server ClickHouse isih bisa diakses kanthi bebas ing alamat IP sing padha.

Source: www.habr.com

Tuku hosting sing dipercaya kanggo situs kanthi proteksi DDoS, server VPS VDS 🔥 Tuku hosting situs web sing bisa dipercaya nganggo proteksi DDoS, server VPS VDS | ProHoster