Ik schrijf veel over de ontdekking van vrij toegankelijke databases in bijna alle landen van de wereld, maar er is bijna geen nieuws over Russische databases meer in het publieke domein. Hoewel recent over de ‘hand van het Kremlin’, die een Nederlandse onderzoeker bang was te ontdekken in meer dan 2000 open databases.
Er bestaat misschien een misvatting dat alles geweldig is in Rusland en dat de eigenaren van grote Russische online projecten een verantwoorde benadering hanteren bij het opslaan van gebruikersgegevens. Ik haast me om deze mythe te ontkrachten aan de hand van dit voorbeeld.
De Russische online medische dienst DOC+ is er blijkbaar in geslaagd de ClickHouse-database met toegangslogboeken openbaar toegankelijk te maken. Helaas zien de logs er zo gedetailleerd uit dat mogelijk de persoonlijke gegevens van medewerkers, partners en klanten van de dienst kunnen lekken.
Eerste dingen eerst...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Met mij, als eigenaar van het Telegram-kanaal "", nam een kanaallezer die anoniem wilde blijven contact met ons op en rapporteerde letterlijk het volgende:
Op internet werd een open ClickHouse-server ontdekt, die eigendom is van het bedrijf doc+. Het IP-adres van de server komt overeen met het IP-adres waarop het docplus.ru-domein is geconfigureerd.
Van Wikipedia: DOC+ (New Medicine LLC) is een Russisch medisch bedrijf dat diensten levert op het gebied van telegeneeskunde, een arts thuis bellen, opslag en verwerking persoonlijke medische gegevens. Het bedrijf ontving investeringen van Yandex.
Afgaande op de verzamelde informatie was de ClickHouse-database inderdaad vrij toegankelijk en kon iedereen die het IP-adres kende er gegevens uit halen. Deze gegevens bleken vermoedelijk servicetoegangslogboeken te zijn.
Zoals je op de bovenstaande afbeelding kunt zien, hangt naast de www.docplus.ru-webserver en de ClickHouse-server (poort 9000) de MongoDB-database wijd open op hetzelfde IP-adres (waarin blijkbaar niets is interessant).
Voor zover ik weet werd de zoekmachine Shodan.io gebruikt om de ClickHouse-server (ongeveer Ik schreef afzonderlijk) in combinatie met een speciaal script , die de gevonden database controleerde op gebrek aan authenticatie en alle tabellen opsomde. Op dat moment leken het er 474 te zijn.
Uit de documentatie weten we dat de ClickHouse-server standaard naar HTTP op poort 8123 luistert. Om te zien wat er in de tabellen staat, volstaat het om zoiets als deze SQL-query uit te voeren:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Als gevolg van het uitvoeren van het verzoek kan waarschijnlijk worden geretourneerd wat wordt aangegeven in de onderstaande schermafbeelding:
Uit de screenshot is duidelijk dat de informatie in het veld staat KOPPEN bevat gegevens over de locatie (breedte- en lengtegraad) van de gebruiker, zijn IP-adres, informatie over het apparaat waarmee hij verbinding heeft gemaakt met de dienst, de versie van het besturingssysteem, enz.
Als het bij iemand opkwam om de SQL-query enigszins aan te passen, bijvoorbeeld als volgt:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
dan zouden er iets soortgelijks als de persoonsgegevens van werknemers teruggegeven kunnen worden, namelijk: volledige naam, geboortedatum, geslacht, fiscaal identificatienummer, registratie- en feitelijke woonplaatsadressen, telefoonnummers, functies, e-mailadressen en nog veel meer:
Al deze informatie uit de bovenstaande schermafbeelding lijkt sterk op de HR-gegevens uit 1C: Enterprise 8.3.
De parameter nader bekijken API_USER_TOKEN je zou kunnen denken dat dit een ‘werkend’ token is waarmee je namens de gebruiker verschillende acties kunt uitvoeren, waaronder het verkrijgen van zijn persoonsgegevens. Maar dit kan ik natuurlijk niet zeggen.
Op dit moment is er geen informatie dat de ClickHouse-server nog steeds vrij toegankelijk is op hetzelfde IP-adres.
Bron: www.habr.com