Мен әлемнің барлық дерлік елдерінде еркін қол жетімді деректер базаларының ашылғаны туралы көп жазамын, бірақ қоғамдық доменде ресейлік мәліметтер базасы туралы жаңалықтар жоқтың қасы. Жақында болса да Голландиялық зерттеуші 2000-нан астам ашық деректер базасында табудан қорқатын «Кремльдің қолы» туралы.
Ресейде бәрі керемет және ірі ресейлік онлайн жобалардың иелері пайдаланушы деректерін сақтауға жауапкершілікпен қарайды деген қате түсінік болуы мүмкін. Мен осы мысалды қолдана отырып, бұл мифті жоққа шығаруға асығамын.
Ресейлік DOC+ онлайн медициналық қызметі ClickHouse дерекқорын жалпыға қолжетімді кіру журналдарымен қалдыра алды. Өкінішке орай, журналдар соншалықты егжей-тегжейлі көрінеді, сондықтан қызметкерлердің, серіктестердің және қызмет клиенттерінің жеке деректері ағып кетуі мүмкін.
Барлығы тәртіппен ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Менімен Telegram арнасының иесі ретінде »", аты-жөнін жасырғысы келген арна оқырманы хабарласып, төмендегіні хабарлады:
Интернетте doc+ компаниясына тиесілі ашық ClickHouse сервері табылды. Сервердің IP мекенжайы docplus.ru домені конфигурацияланған IP мекенжайына сәйкес келеді.
Уикипедиядан: DOC+ (New Medicine LLC) — телемедицина, үйге дәрігер шақыру, сақтау және өңдеу саласында қызмет көрсететін ресейлік медициналық компания. жеке медициналық деректер. Компания Яндекстен инвестиция алды.
Жиналған ақпаратқа қарағанда, ClickHouse дерекқоры шынымен де еркін қол жетімді болды және кез келген IP мекенжайын білетін кез келген адам одан деректерді ала алады. Бұл деректер қызметке кіру журналдары болып шықты.
Жоғарыдағы суреттен көріп отырғаныңыздай, www.docplus.ru веб-серверінен және ClickHouse серверінен (порт 9000) басқа, MongoDB дерекқоры бірдей IP мекенжайында ашық ілулі тұр (бұл жерде ештеңе жоқ сияқты) қызықты).
Менің білуімше, Shodan.io іздеу жүйесі ClickHouse серверін табу үшін пайдаланылған (шамамен Мен бөлек жаздым) арнайы сценариймен бірге , ол табылған дерекқорды аутентификацияның жоқтығына тексеріп, оның барлық кестелерін тізімдеді. Ол кезде олардың саны 474 болған көрінеді.
Құжаттамадан біз әдепкі бойынша ClickHouse сервері 8123 портында HTTP тыңдайтынын білеміз. Сондықтан, кестелерде не бар екенін көру үшін осы SQL сұрауы сияқты нәрсені іске қосу жеткілікті:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Сұрауды орындау нәтижесінде төмендегі скриншотта көрсетілгендей қайтарылуы мүмкін:
Скриншоттан даладағы ақпарат екені анық ТАҚЫРЫПТАР пайдаланушының орналасқан жері (ендік және бойлық), оның IP мекенжайы, ол қызметке қосылған құрылғы туралы ақпарат, ОЖ нұсқасы және т.б.
Егер біреудің ойына SQL сұрауын сәл өзгерту керек болса, мысалы, келесідей:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
содан кейін қызметкерлердің жеке деректеріне ұқсас нәрсені қайтаруға болады, атап айтқанда: толық аты-жөні, туған күні, жынысы, салық сәйкестендіру нөмірі, тіркеу және нақты тұрғылықты жері мекенжайлары, телефон нөмірлері, лауазымдар, электрондық пошта мекенжайлары және т.б.:
Жоғарыдағы скриншоттағы бұл ақпараттың барлығы 1С: Enterprise 8.3. HR деректеріне өте ұқсас.
Параметрге жақынырақ қарау API_USER_TOKEN Сіз бұл пайдаланушы атынан әртүрлі әрекеттерді орындауға, соның ішінде оның жеке деректерін алуға болатын «жұмыс істейтін» таңбалауыш деп ойлауыңыз мүмкін. Бірақ, әрине, мен мұны айта алмаймын.
Қазіргі уақытта ClickHouse серверіне бұрынғыдай IP мекенжайы бойынша еркін қол жеткізуге болатыны туралы ақпарат жоқ.
Ақпарат көзі: www.habr.com