Мен дүйнөнүн дээрлик бардык өлкөлөрүндө эркин жеткиликтүү маалымат базаларынын ачылышы жөнүндө көп жазам, бирок орусиялык маалымат базалары тууралуу коомдук доменде дээрлик эч кандай жаңылык жок. Жакында болсо да Голландиялык изилдөөчү 2000ден ашык ачык маалымат базасында табуудан корккон "Кремлдин колу" жөнүндө.
Россияда баары сонун жана орусиялык ири онлайн долбоорлордун ээлери колдонуучунун маалыматтарын сактоого жоопкерчиликтүү мамиле кылышат деген туура эмес түшүнүк болушу мүмкүн. Мен бул мифти бул мисал аркылуу жокко чыгарууга шашыламын.
Орус онлайн медициналык кызматы DOC+, кыязы, ClickHouse маалымат базасын жалпыга жеткиликтүү кирүү журналдары менен калтырууга жетишкен. Тилекке каршы, журналдар ушунчалык деталдуу көрүнөт, ошондуктан кызматтын кызматкерлеринин, өнөктөштөрүнүн жана кардарларынын жеке маалыматтары ачыкка чыгып кетиши мүмкүн.
Биринчи нерсе биринчи...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Мен менен, Telegram каналынын ээси катары "", атын атагысы келбеген каналдын окурманы байланышка чыгып, түзмө-түз төмөндөгүлөрдү билдирди:
Интернетте ачык ClickHouse сервери табылган, ал doc+ компаниясына таандык. Сервердин IP дареги docplus.ru домени конфигурацияланган IP дарекке дал келет.
Wikipedia From: DOC+ (New Medicine LLC) – телемедицина, үйдө дарыгерди чакыруу, сактоо жана кайра иштетүү тармагында кызмат көрсөткөн орусиялык медициналык компания. жеке медициналык маалыматтар. Компания Яндекстен инвестиция алган.
Чогулган маалыматтарга караганда, ClickHouse маалымат базасы чындап эле эркин жеткиликтүү болгон жана IP дарегин билген ар бир адам андан маалыматтарды ала алган. Бул маалыматтар кызматка кирүү журналдары болуп чыкты.
Жогорудагы сүрөттөн көрүнүп тургандай, www.docplus.ru веб-серверинен жана ClickHouse серверинен (порт 9000) тышкары, MongoDB маалымат базасы бир эле IP даректе ачык илинип турат (анда эч нерсе жок окшойт) кызыктуу).
Менин билишимче, Shodan.io издөө системасы ClickHouse серверин табуу үчүн колдонулган (болжол менен Өзүнчө жаздым) атайын сценарий менен бирдикте , табылган маалымат базасын аныктыгын текшерүүнүн жоктугун текшерген жана анын бардык таблицаларын тизмектеген. Ошол кезде алардын саны 474кө жеткендей болгон.
Документтерден биз билебиз, демейки боюнча ClickHouse сервери 8123 портунда HTTP угат. Ошондуктан, таблицаларда эмне камтылганын көрүү үчүн, бул SQL сурамына окшош нерсени иштетүү жетиштүү:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Сурамдын аткарылышынын натыйжасында, төмөндөгү скриншотто көрсөтүлгөн нерсе кайтарылышы мүмкүн:
Скриншоттон көрүнүп тургандай, талаадагы маалымат ЖАШООЧУЛАР колдонуучунун жайгашкан жери (кеңдик жана узундук), анын IP дареги, ал кызматка туташкан түзмөк жөнүндө, ОС версиясы жана башкалар жөнүндө маалыматтарды камтыйт.
Эгер кимдир бирөө SQL сурамын бир аз өзгөртүүнү ойлосо, мисалы, бул сыяктуу:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
анда кызматкерлердин жеке маалыматтарына окшош бир нерсе кайтарылып берилиши мүмкүн, атап айтканда: толук аты-жөнү, туулган күнү, жынысы, салык идентификациялык номери, каттоо жана жашаган жеринин даректери, телефон номерлери, кызмат орундары, электрондук почта даректери жана башкалар:
Жогорудагы скриншоттон алынган бул маалыматтардын баары 1C: Enterprise 8.3. HR маалыматтарына абдан окшош.
Параметрди жакшыраак карап чыгуу API_USER_TOKEN бул колдонуучунун атынан ар кандай иш-аракеттерди, анын ичинде анын жеке маалыматтарын алууга мүмкүн болгон "иштеп жаткан" белги деп ойлошуңуз мүмкүн. Бирок, албетте, мен муну айта албайм.
Азыркы учурда ClickHouse серверине ошол эле IP дареги боюнча дагы эле эркин кире тургандыгы тууралуу маалымат жок.
Source: www.habr.com