Ech schreiwen vill iwwer d'Entdeckung vu fräi zougänglechen Datenbanken an bal alle Länner vun der Welt, awer et gëtt bal keng Neiegkeeten iwwer russesch Datenbanken am Domaine public. Obwuel viru kuerzem iwwer d'"Hand vum Kreml", déi en hollännesche Fuerscher Angscht huet a méi wéi 2000 oppenen Datenbanken ze entdecken.
Et kann e Mëssverständnis sinn datt alles a Russland super ass an d'Besëtzer vu grousse russesche Online-Projete huelen eng verantwortlech Approche fir d'Benotzerdaten ze späicheren. Ech séier dëse Mythos mat dësem Beispill ze debunk.
De russeschen Online medizinesche Service DOC+ huet et anscheinend fäerdeg bruecht d'ClickHouse Datebank mat Zougangsprotokoller ëffentlech verfügbar ze verloossen. Leider gesinn d'Logbicher sou detailléiert aus, datt perséinlech Donnéeë vu Mataarbechter, Partner a Cliente vum Service kéinte geläscht ginn.
Éischt Saachen éischt ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Mat mir, als Besëtzer vum Telegram Kanal "", e Kanal Lieser, deen anonym wëlle bleiwen, kontaktéiert a bericht wuertwiertlech déi folgend:
En oppene ClickHouse Server gouf um Internet entdeckt, deen zu der Firma doc+ gehéiert. D'Server IP Adress entsprécht der IP Adress op déi d'docplus.ru Domain konfiguréiert ass.
Vun der Wikipedia: DOC+ (New Medicine LLC) ass eng russesch medizinesch Firma déi Servicer am Beräich vun der Telemedizin ubitt, en Dokter doheem rufft, Späicheren a Veraarbechtung perséinlech medezinesch Donnéeën. D'Firma krut Investitioune vu Yandex.
No der gesammelter Informatioun ze beurteelen, war d'ClickHouse-Datebank wierklech fräi zougänglech, a jiddereen, deen d'IP Adress kennt, konnt Donnéeën dovunner kréien. Dës Donnéeën hu sech viraussiichtlech als Service Zougang Logbicher erausgestallt.
Wéi Dir aus der Foto hei uewen kënnt gesinn, nieft dem www.docplus.ru Webserver an dem ClickHouse Server (Port 9000), hänkt d'MongoDB Datebank wäit op der selwechter IP Adress (an där, anscheinend, näischt ass) interessant).
Sou wäit wéi ech weess, gouf de Shodan.io Sichmotor benotzt fir de ClickHouse Server (ongeféier Ech hunn getrennt geschriwwen) a Verbindung mat engem spezielle Skript , déi d'Datebank fonnt huet wéinst Mangel un Authentifikatioun an all seng Tabellen opgelëscht. Deemools schéngen et der 474 ze sinn.
Aus der Dokumentatioun wësse mer datt de ClickHouse Server par défaut op HTTP um Hafen 8123 lauschtert. Dofir, fir ze kucken wat an den Dëscher enthale sinn, ass et genuch fir eppes wéi dës SQL Ufro auszeféieren:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Als Resultat vun der Ausféierung vun der Ufro, wat méiglecherweis zréckkoum ass wat am Screenshot hei ënnen ugewise gëtt:
Aus dem Screenshot ass kloer datt d'Informatioun am Feld HEADERS enthält Daten iwwer d'Plaz (Breet a Längt) vum Benotzer, seng IP Adress, Informatioun iwwer den Apparat, aus deem hien un de Service verbonnen ass, OS Versioun, etc.
Wann et engem geschitt ass, d'SQL Ufro liicht z'änneren, zum Beispill, sou:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
da kéint eppes ähnlech wéi d'perséinlech Donnéeën vun de Mataarbechter zréckginn, nämlech: vollen Numm, Gebuertsdatum, Geschlecht, Steieridentifikatiounsnummer, Aschreiwung an aktuell Wunnsëtz Adressen, Telefonsnummeren, Positiounen, Email Adressen a villes méi:
All dës Informatioun vum Screenshot hei uewen ass ganz ähnlech wéi d'HR Daten vun 1C: Enterprise 8.3.
E Bléck méi no op de Parameter API_USER_TOKEN Dir mengt vläicht datt dëst e "schaffen" Token ass, mat deem Dir verschidde Handlungen am Numm vum Benotzer maache kënnt, och seng perséinlech Donnéeën ze kréien. Mä dat kann ech natierlech net soen.
Am Moment gëtt et keng Informatioun datt de ClickHouse Server nach ëmmer fräi zougänglech ass op der selwechter IP Adress.
Source: will.com