Aku nulis akeh babagan panemuan database sing bisa diakses kanthi bebas ing meh kabeh negara ing donya, nanging meh ora ana kabar babagan database Rusia sing isih ana ing domain umum. Senajan bubar babagan "tangan Kremlin," sing ditemokake dening peneliti Walanda ing luwih saka 2000 database mbukak.
Bisa uga ana misconception yen kabeh apik ing Rusia lan pamilik proyek online Rusia sing gedhe njupuk pendekatan sing tanggung jawab kanggo nyimpen data pangguna. Aku cepet-cepet mbantah mitos iki nggunakake conto iki.
Layanan medis online Rusia DOC + ketoke bisa ninggalake database ClickHouse kanthi log akses sing kasedhiya kanggo umum. Sayange, log katon rinci banget yen data pribadhi karyawan, mitra lan klien layanan kasebut bisa uga bocor.
Kaping pisanan ...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Karo aku, minangka pemilik saluran Telegram "", pamaca saluran sing pengin tetep anonim sesambungan lan nglaporake kanthi harfiah ing ngisor iki:
Server ClickHouse sing mbukak ditemokake ing Internet, sing dadi milik perusahaan doc+. Alamat IP server cocog karo alamat IP sing dikonfigurasi domain docplus.ru.
Saka Wikipedia: DOC + (New Medicine LLC) minangka perusahaan medis Rusia sing nyedhiyakake layanan ing bidang telemedicine, nelpon dhokter ing omah, panyimpenan lan pangolahan. data medis pribadi. Perusahaan nampa investasi saka Yandex.
Miturut informasi sing diklumpukake, database ClickHouse pancen bisa diakses kanthi bebas, lan sapa wae, sing ngerti alamat IP kasebut, bisa entuk data saka iku. Data iki diduga dadi log akses layanan.
Minangka sampeyan bisa ndeleng saka gambar ing ndhuwur, saliyane server web www.docplus.ru lan server ClickHouse (port 9000), basis data MongoDB mbukak amba ing alamat IP sing padha (sing, ketoke, ora ana apa-apa. menarik).
Sak ngertiku, mesin telusur Shodan.io digunakake kanggo nemokake server ClickHouse (babagan Aku nulis kanthi kapisah) bebarengan karo naskah khusus , sing mriksa database sing ditemokake kanggo kekurangan otentikasi lan dhaptar kabeh tabel. Ing wektu iku ana 474 wong.
Saka dokumentasi, kita ngerti yen kanthi standar, server ClickHouse ngrungokake HTTP ing port 8123. Mulane, kanggo ndeleng apa sing ana ing tabel, cukup kanggo mbukak kaya query SQL iki:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]Minangka asil nglakokake panyuwunan kasebut, sing bisa dibalekake yaiku sing dituduhake ing gambar ing ngisor iki:
Saka gambar kasebut cetha yen informasi ing lapangan HEADERS ngemot data babagan lokasi (lintang lan bujur) pangguna, alamat IP, informasi babagan piranti sing disambungake menyang layanan kasebut, versi OS, lsp.
Yen ana wong sing rada ngowahi query SQL, contone, kaya iki:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
banjur ana sing meh padha karo data pribadhi karyawan bisa bali, yaiku: jeneng lengkap, tanggal lahir, jenis kelamin, nomer identifikasi pajak, registrasi lan alamat papan panggonan sing nyata, nomer telpon, posisi, alamat email lan liya-liyane:
Kabeh informasi iki saka gambar ing ndhuwur meh padha karo data HR saka 1C: Enterprise 8.3.
Njupuk dipikir nyedhaki parameter API_USER_TOKEN sampeyan bisa uga mikir yen iki minangka token "kerja" sing sampeyan bisa nindakake macem-macem tumindak atas jenenge pangguna, kalebu entuk data pribadhi. Nanging mesthi aku ora bisa ngomong iki.
Saiki ora ana informasi manawa server ClickHouse isih bisa diakses kanthi bebas ing alamat IP sing padha.
Source: www.habr.com