Многу пишувам за откривањето на слободно достапни бази на податоци во речиси сите земји во светот, но речиси и да нема вести за руските бази во јавниот домен. Иако неодамна за „раката на Кремљ“, која холандски истражувач се исплашил да ја открие во повеќе од 2000 отворени бази на податоци.
Можеби постои заблуда дека сè е одлично во Русија и дека сопствениците на големи руски онлајн проекти преземаат одговорен пристап кон складирањето на корисничките податоци. Побрзам да го разоткријат овој мит користејќи го овој пример.
Руската онлајн медицинска услуга DOC+ очигледно успеа да ја напушти базата на податоци на ClickHouse со јавно достапни дневници за пристап. За жал, дневниците изгледаат толку детални што евентуално би можеле да протекуваат лични податоци на вработените, партнерите и клиентите на услугата.
Првите нешта прво...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Со мене, како сопственик на каналот Телеграма ““, стапил во контакт еден читател на канал кој сакал да остане анонимен и го пријавил буквално следново:
На интернет е откриен отворен ClickHouse сервер, кој припаѓа на компанијата doc+. IP адресата на серверот се совпаѓа со IP адресата на која е конфигуриран доменот docplus.ru.
Од Википедија: DOC+ (New Medicine LLC) е руска медицинска компанија која обезбедува услуги во областа на телемедицината, повикувајќи лекар дома, складирање и обработка лични медицински податоци. Компанијата доби инвестиции од Yandex.
Судејќи според собраните информации, базата на ClickHouse беше навистина слободно достапна и секој, знаејќи ја IP адресата, можеше да добие податоци од неа. Овие податоци се претпоставува дека се дневници за пристап до услугата.
Како што можете да видите од сликата погоре, покрај веб-серверот www.docplus.ru и серверот ClickHouse (порт 9000), базата на податоци MongoDB виси широко отворена на истата IP адреса (во која, очигледно, нема ништо интересно).
Колку што знам, пребарувачот Shodan.io се користеше за откривање на серверот ClickHouse (околу Напишав одделно) во врска со специјално сценарио , кој ја провери пронајдената база на податоци за недостаток на автентикација и ги наведе сите нејзини табели. Во тоа време се чинеше дека имало 474 од нив.
Од документацијата знаеме дека стандардно, серверот ClickHouse слуша HTTP на портата 8123. Затоа, за да видите што е содржано во табелите, доволно е да извршите нешто како ова SQL барање:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Како резултат на извршувањето на барањето, она што веројатно би можело да се врати е она што е наведено на скриншот подолу:
Од скриншот е јасно дека информациите се на терен ЗАГЛАВНИ содржи податоци за локацијата (широчина и должина) на корисникот, неговата IP адреса, информации за уредот од кој се поврзал на услугата, верзијата на ОС итн.
Ако некому му текнало малку да го измени барањето SQL, на пример, вака:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
тогаш би можело да се врати нешто слично на личните податоци на вработените, имено: полно име, датум на раѓање, пол, даночен матичен број, адреси за регистрација и вистинско место на живеење, телефонски броеви, позиции, адреси на е-пошта и многу повеќе:
Сите овие информации од горната слика од екранот се многу слични на податоците за човечки ресурси од 1C: Enterprise 8.3.
Поблиски поглед на параметарот API_USER_TOKEN можеби мислите дека ова е „работен“ токен со кој можете да извршите различни дејства во име на корисникот, вклучително и добивање на неговите лични податоци. Но, се разбира, не можам да го кажам ова.
Во моментов нема информации дека серверот ClickHouse сè уште е слободно достапен на истата IP адреса.
Извор: www.habr.com