Daug rašau apie laisvai prieinamų duomenų bazių atradimą beveik visose pasaulio šalyse, tačiau apie rusiškas duomenų bazes viešoje erdvėje beveik neliko naujienų. Nors neseniai apie „Kremliaus ranką“, kurią olandų tyrinėtojas išsigando aptikęs daugiau nei 2000 atvirų duomenų bazių.
Gali būti klaidinga nuomonė, kad Rusijoje viskas puiku, o didelių Rusijos internetinių projektų savininkai atsakingai saugo vartotojų duomenis. Šiuo pavyzdžiu skubu paneigti šį mitą.
Rusijos internetinei medicinos tarnybai DOC+, matyt, pavyko palikti ClickHouse duomenų bazę su prieigos žurnalais viešai. Deja, žurnalai atrodo tokie detalūs, kad galėjo nutekinti paslaugos darbuotojų, partnerių ir klientų asmeniniai duomenys.
Visų pirmą...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Su manimi, kaip „Telegram“ kanalo savininku ““, kanalo skaitytojas, norėjęs likti anonimiškas, susisiekė ir pažodžiui pranešė:
Internete buvo aptiktas atviras ClickHouse serveris, priklausantis įmonei doc+. Serverio IP adresas sutampa su IP adresu, kuriam sukonfigūruotas domenas docplus.ru.
Iš Vikipedijos: DOC+ (New Medicine LLC) yra Rusijos medicinos įmonė, teikianti paslaugas telemedicinos, gydytojo iškvietimo į namus, saugojimo ir apdorojimo srityse. asmens medicininiai duomenys. Bendrovė gavo investicijų iš „Yandex.
Sprendžiant iš surinktos informacijos, ClickHouse duomenų bazė išties buvo laisvai prieinama, iš jos duomenis galėjo gauti kiekvienas, žinantis IP adresą. Manoma, kad šie duomenys yra paslaugų prieigos žurnalai.
Kaip matote aukščiau esančioje nuotraukoje, be www.docplus.ru žiniatinklio serverio ir ClickHouse serverio (prievadas 9000), MongoDB duomenų bazė kabo tame pačiame IP adresu (kuriame, matyt, nieko nėra įdomus).
Kiek žinau, „ClickHouse“ serveriui atrasti buvo naudojama Shodan.io paieškos sistema (apie Rašiau atskirai) kartu su specialiu scenarijumi , kuris patikrino rastą duomenų bazę, ar nėra autentifikavimo, ir išvardijo visas jos lenteles. Tuo metu atrodė, kad jų buvo 474.
Iš dokumentacijos žinome, kad pagal numatytuosius nustatymus ClickHouse serveris klauso HTTP 8123 prievade. Todėl norint pamatyti, kas yra lentelėse, pakanka paleisti kažką panašaus į šią SQL užklausą:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Įvykdžius užklausą tikriausiai būtų galima grąžinti tai, kas nurodyta toliau esančioje ekrano kopijoje:
Iš ekrano kopijos aišku, kad informacija lauke ANTRAŠTĖS yra duomenų apie vartotojo vietą (platumą ir ilgumą), jo IP adresą, informaciją apie įrenginį, iš kurio jis prisijungė prie paslaugos, OS versiją ir kt.
Jei kam nors kilo mintis šiek tiek pakeisti SQL užklausą, pavyzdžiui, taip:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
tada būtų galima grąžinti kažką panašaus į darbuotojų asmens duomenis, būtent: vardas, pavardė, gimimo data, lytis, mokesčių mokėtojo kodas, registracijos ir faktinės gyvenamosios vietos adresai, telefono numeriai, pareigos, elektroninio pašto adresai ir daug daugiau:
Visa ši informacija iš aukščiau esančios ekrano kopijos yra labai panaši į HR duomenis iš 1C: Enterprise 8.3.
Atidžiau pažvelgus į parametrą API_USER_TOKEN galite pamanyti, kad tai yra „darbinis“ ženklas, su kuriuo galite atlikti įvairius veiksmus vartotojo vardu, įskaitant jo asmens duomenų gavimą. Bet, žinoma, aš negaliu to pasakyti.
Šiuo metu nėra informacijos, kad ClickHouse serveris vis dar būtų laisvai pasiekiamas tuo pačiu IP adresu.
Šaltinis: www.habr.com