Es daudz rakstu par brīvi pieejamu datu bāzu atklāšanu gandrīz visās pasaules valstīs, bet par Krievijas datubāzēm publiskajā telpā tikpat kā nav palicis jaunums. Lai gan nesen par "Kremļa roku", ko kāds holandiešu pētnieks baidījās atklāt vairāk nekā 2000 atvērtās datubāzēs.
Var rasties maldīgs priekšstats, ka Krievijā viss ir lieliski un lielu Krievijas tiešsaistes projektu īpašnieki atbildīgi pieiet lietotāju datu glabāšanai. Es steidzos atspēkot šo mītu, izmantojot šo piemēru.
Krievijas tiešsaistes medicīnas dienestam DOC+ acīmredzot izdevās atstāt ClickHouse datubāzi ar piekļuves žurnāliem publiski pieejamu. Diemžēl žurnāli izskatās tik detalizēti, ka, iespējams, varētu tikt nopludināti servisa darbinieku, partneru un klientu personas dati.
Pirmās lietas vispirms...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Ar mani kā telegrammas kanāla īpašnieku "", kanāla lasītājs, kurš vēlējās palikt anonīms, sazinājās un burtiski ziņoja par sekojošo:
Internetā tika atklāts atvērts ClickHouse serveris, kas pieder uzņēmumam doc+. Servera IP adrese atbilst IP adresei, kurai ir konfigurēts domēns docplus.ru.
No Wikipedia: DOC+ (New Medicine LLC) ir Krievijas medicīnas uzņēmums, kas sniedz pakalpojumus telemedicīnas, ārsta izsaukšanas uz mājām, uzglabāšanas un apstrādes jomā. personas medicīniskie dati. Uzņēmums saņēma ieguldījumus no Yandex.
Spriežot pēc apkopotās informācijas, ClickHouse datubāze patiešām bija brīvi pieejama, un ikviens, zinot IP adresi, varēja no tās iegūt datus. Šie dati, iespējams, izrādījās pakalpojuma piekļuves žurnāli.
Kā redzams augšējā attēlā, papildus www.docplus.ru tīmekļa serverim un ClickHouse serverim (ports 9000) MongoDB datu bāze karājas plaši atvērta tajā pašā IP adresē (kurā, šķiet, nav nekā interesanti).
Cik man zināms, ClickHouse servera atklāšanai tika izmantota meklētājprogramma Shodan.io (apmēram Es rakstīju atsevišķi) kopā ar īpašu skriptu , kas pārbaudīja, vai atrastajā datu bāzē nav autentifikācijas, un uzskaitīja visas tās tabulas. Tobrīd šķita, ka tādu bija 474.
No dokumentācijas mēs zinām, ka pēc noklusējuma ClickHouse serveris klausās HTTP portā 8123. Tāpēc, lai redzētu, kas ir ietverts tabulās, pietiek ar kaut ko līdzīgu šim SQL vaicājumam:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Pieprasījuma izpildes rezultātā, iespējams, varētu tikt atgriezts tas, kas norādīts zemāk esošajā ekrānuzņēmumā:
No ekrānuzņēmuma ir skaidrs, ka informācija laukā GALVENES satur datus par lietotāja atrašanās vietu (platuma un garuma grādiem), viņa IP adresi, informāciju par ierīci, no kuras viņš pieslēdzās pakalpojumam, OS versiju utt.
Ja kādam ienāca prātā nedaudz modificēt SQL vaicājumu, piemēram, šādi:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
tad varētu atgriezt kaut ko līdzīgu darbinieku personas datiem, proti: pilns vārds, dzimšanas datums, dzimums, nodokļu maksātāja reģistrācijas numurs, reģistrācijas un faktiskās dzīvesvietas adreses, tālruņu numuri, amati, e-pasta adreses un daudz kas cits:
Visa šī informācija no iepriekš redzamā ekrānuzņēmuma ir ļoti līdzīga HR datiem no 1C: Enterprise 8.3.
Apskatot parametru tuvāk API_USER_TOKEN jūs varētu domāt, ka tas ir "darba" marķieris, ar kuru varat veikt dažādas darbības lietotāja vārdā, tostarp iegūt viņa personas datus. Bet es to, protams, nevaru teikt.
Šobrīd nav informācijas, ka ClickHouse serveris joprojām būtu brīvi pieejams uz tās pašas IP adreses.
Avots: www.habr.com