Би дэлхийн бараг бүх улс оронд чөлөөтэй нэвтрэх боломжтой мэдээллийн санг нээсэн талаар маш их бичдэг, гэхдээ Оросын мэдээллийн сангийн талаар олон нийтэд мэдээлсэн мэдээ бараг байдаггүй. Хэдийгээр саяхан Голландын судлаач 2000 гаруй нээлттэй мэдээллийн сангаас олж нээхээс айж байсан "Кремлийн гар"-ын тухай.
Орос улсад бүх зүйл сайхан байдаг бөгөөд Оросын томоохон онлайн төслүүдийн эзэд хэрэглэгчийн мэдээллийг хадгалахад хариуцлагатай ханддаг гэсэн буруу ойлголт байж магадгүй юм. Би энэ үлгэрийг ашиглан энэ үлгэрийг няцаах гэж яарч байна.
Оросын онлайн эмнэлгийн DOC+ үйлчилгээ нь ClickHouse мэдээллийн санг олон нийтэд нээлттэй хандалтын бүртгэлтэй орхиж чадсан бололтой. Харамсалтай нь бүртгэлүүд нь маш нарийвчилсан харагддаг тул тус үйлчилгээний ажилчид, түншүүд болон үйлчлүүлэгчдийн хувийн мэдээлэл алдагдсан байх магадлалтай.
Хамгийн түрүүнд хийх зүйлс...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Telegram сувгийн эзэмшигчийн хувьд надтай хамт "", нэрээ нууцлахыг хүссэн сувгийн уншигч холбогдож дараахь зүйлийг шууд утгаараа мэдээлэв.
doc+ компанид харьяалагддаг нээлттэй ClickHouse сервер интернетээс олдсон. Серверийн IP хаяг нь docplus.ru домайныг тохируулсан IP хаягтай таарч байна.
Wikipedia: DOC+ (New Medicine LLC) нь телемедицин, гэртээ эмч дуудах, хадгалах, боловсруулах чиглэлээр үйлчилгээ үзүүлдэг Оросын эмнэлгийн компани юм. хувийн эмнэлгийн мэдээлэл. Тус компани Yandex-ээс хөрөнгө оруулалт авсан.
Цуглуулсан мэдээллээс харахад ClickHouse мэдээллийн санд үнэхээр чөлөөтэй нэвтрэх боломжтой байсан бөгөөд IP хаягийг мэддэг хүн бүр үүнээс мэдээлэл авах боломжтой байв. Энэ өгөгдөл нь үйлчилгээний хандалтын бүртгэл байж магадгүй юм.
Дээрх зургаас харахад www.docplus.ru вэб сервер болон ClickHouse серверээс (порт 9000) гадна MongoDB мэдээллийн сан нь ижил IP хаяг дээр (түүнд юу ч байхгүй бололтой) нээлттэй байна. сонирхолтой).
Миний мэдэж байгаагаар Shodan.io хайлтын системийг ClickHouse серверийг (ойролцоогоор Би тусад нь бичсэн) тусгай скрипттэй хамт , олсон мэдээллийн санг баталгаажуулаагүй эсэхийг шалгаж, түүний бүх хүснэгтийг жагсаасан. Тэр үед 474 байсан юм шиг байна лээ.
Баримт бичгээс бид анхдагчаар ClickHouse сервер 8123 порт дээр HTTP-г сонсдог гэдгийг мэдэж байна. Тиймээс, хүснэгтэд юу агуулагдаж байгааг харахын тулд ийм SQL асуулга ажиллуулахад хангалттай.
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Хүсэлтийг гүйцэтгэсний үр дүнд буцаах боломжтой зүйл бол доорх дэлгэцийн агшинд харагдаж байна.
Дэлгэцийн агшингаас харахад талбарт байгаа мэдээлэл тодорхой байна ТОЛГОЙ Энэ нь хэрэглэгчийн байршил (өргөрөг, уртраг), түүний IP хаяг, үйлчилгээнд холбогдсон төхөөрөмжийн талаарх мэдээлэл, үйлдлийн системийн хувилбар гэх мэт мэдээллийг агуулдаг.
Хэрэв хэн нэгэн SQL асуулгад бага зэрэг өөрчлөлт оруулахаар санагдвал, жишээ нь:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
Дараа нь ажилчдын хувийн мэдээлэлтэй ижил төстэй зүйлийг буцааж өгч болно, тухайлбал: овог нэр, төрсөн огноо, хүйс, татварын дугаар, бүртгэл, оршин суугаа газрын хаяг, утасны дугаар, албан тушаал, имэйл хаяг гэх мэт:
Дээрх дэлгэцийн агшин дээрх энэ бүх мэдээлэл нь 1С: Enterprise 8.3-ийн хүний нөөцийн мэдээлэлтэй маш төстэй юм.
Параметрийг нарийвчлан авч үзье API_USER_TOKEN Энэ нь хэрэглэгчийн нэрийн өмнөөс янз бүрийн үйлдэл хийх, тэр дундаа түүний хувийн мэдээллийг авах боломжтой "ажилладаг" токен гэж та бодож магадгүй. Гэхдээ мэдээж би үүнийг хэлж чадахгүй.
Одоогоор ClickHouse серверт ижил IP хаягаар чөлөөтэй нэвтрэх боломжтой гэсэн мэдээлэл алга байна.
Эх сурвалж: www.habr.com