Saya banyak menulis tentang penemuan pangkalan data yang boleh diakses secara bebas di hampir semua negara di dunia, tetapi hampir tiada berita tentang pangkalan data Rusia yang tersisa dalam domain awam. Walaupun baru-baru ini
Mungkin terdapat salah tanggapan bahawa semuanya hebat di Rusia dan pemilik projek dalam talian Rusia yang besar mengambil pendekatan yang bertanggungjawab untuk menyimpan data pengguna. Saya segera membongkar mitos ini menggunakan contoh ini.
Perkhidmatan perubatan dalam talian Rusia DOC+ nampaknya berjaya meninggalkan pangkalan data ClickHouse dengan log akses tersedia secara terbuka. Malangnya, log kelihatan begitu terperinci sehinggakan data peribadi pekerja, rakan kongsi dan pelanggan perkhidmatan tersebut mungkin telah dibocorkan.
Perkara pertama dahulu...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Bersama saya, sebagai pemilik saluran Telegram "
Pelayan ClickHouse terbuka ditemui di Internet, yang dimiliki oleh syarikat doc+. Alamat IP pelayan sepadan dengan alamat IP yang mana domain docplus.ru dikonfigurasikan.
Dari Wikipedia: DOC+ (New Medicine LLC) ialah sebuah syarikat perubatan Rusia yang menyediakan perkhidmatan dalam bidang teleperubatan, memanggil doktor di rumah, penyimpanan dan pemprosesan data perubatan peribadi. Syarikat itu menerima pelaburan daripada Yandex.
Berdasarkan maklumat yang dikumpul, pangkalan data ClickHouse sememangnya boleh diakses secara bebas, dan sesiapa sahaja, mengetahui alamat IP, boleh mendapatkan data daripadanya. Data ini mungkin menjadi log akses perkhidmatan.
Seperti yang anda lihat dari gambar di atas, sebagai tambahan kepada pelayan web www.docplus.ru dan pelayan ClickHouse (port 9000), pangkalan data MongoDB terbuka luas pada alamat IP yang sama (di mana, nampaknya, tiada apa-apa menarik).
Setakat yang saya tahu, enjin carian Shodan.io digunakan untuk menemui pelayan ClickHouse (kira-kira
Daripada dokumentasi, kami tahu bahawa secara lalai, pelayan ClickHouse mendengar HTTP pada port 8123. Oleh itu, untuk melihat apa yang terkandung dalam jadual, sudah cukup untuk menjalankan sesuatu seperti pertanyaan SQL ini:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]
Hasil daripada melaksanakan permintaan, perkara yang mungkin boleh dikembalikan ialah apa yang ditunjukkan dalam tangkapan skrin di bawah:
Daripada tangkapan skrin jelas bahawa maklumat di lapangan KETUA mengandungi data tentang lokasi (latitud dan longitud) pengguna, alamat IPnya, maklumat tentang peranti yang disambungkannya ke perkhidmatan, versi OS, dsb.
Jika terfikir seseorang untuk mengubah suai sedikit pertanyaan SQL, sebagai contoh, seperti ini:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
maka sesuatu yang serupa dengan data peribadi pekerja boleh dikembalikan, iaitu: nama penuh, tarikh lahir, jantina, nombor pengenalan cukai, pendaftaran dan alamat tempat tinggal sebenar, nombor telefon, jawatan, alamat e-mel dan banyak lagi:
Semua maklumat daripada tangkapan skrin di atas sangat serupa dengan data HR daripada 1C: Enterprise 8.3.
Melihat lebih dekat pada parameter API_USER_TOKEN anda mungkin berfikir bahawa ini adalah token "berfungsi" yang dengannya anda boleh melakukan pelbagai tindakan bagi pihak pengguna, termasuk mendapatkan data peribadinya. Tetapi sudah tentu saya tidak boleh mengatakan ini.
Pada masa ini tiada maklumat bahawa pelayan ClickHouse masih boleh diakses secara bebas pada alamat IP yang sama.
Sumber: www.habr.com