Jeg skriver mye om oppdagelsen av fritt tilgjengelige databaser i nesten alle land i verden, men det er nesten ingen nyheter om russiske databaser igjen i det offentlige domene. Selv om nylig om «Kremlins hånd», som en nederlandsk forsker ble redd for å oppdage i mer enn 2000 åpne databaser.
Det kan være en misforståelse at alt er bra i Russland, og eierne av store russiske nettprosjekter tar en ansvarlig tilnærming til lagring av brukerdata. Jeg skynder meg å avlive denne myten ved å bruke dette eksemplet.
Den russiske nettmedisinske tjenesten DOC+ klarte tilsynelatende å forlate ClickHouse-databasen med tilgangslogger offentlig tilgjengelig. Dessverre ser loggene så detaljerte ut at personopplysninger til ansatte, partnere og klienter av tjenesten kan ha blitt lekket.
Første ting først...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Med meg, som eier av Telegram-kanalen "", tok en kanalleser som ønsket å være anonym kontakt og rapporterte bokstavelig talt følgende:
En åpen ClickHouse-server ble oppdaget på Internett, som tilhører selskapet doc+. Serverens IP-adresse samsvarer med IP-adressen som docplus.ru-domenet er konfigurert til.
Fra Wikipedia: DOC+ (New Medicine LLC) er et russisk medisinsk selskap som tilbyr tjenester innen telemedisin, tilkalling til lege hjemme, lagring og behandling personlige medisinske data. Selskapet mottok investeringer fra Yandex.
Å dømme etter informasjonen som ble samlet inn, var ClickHouse-databasen faktisk fritt tilgjengelig, og alle som kjente IP-adressen kunne hente data fra den. Disse dataene viste seg antagelig å være tjenestetilgangslogger.
Som du kan se fra bildet ovenfor, i tillegg til www.docplus.ru-nettserveren og ClickHouse-serveren (port 9000), henger MongoDB-databasen helt åpen på den samme IP-adressen (der det tilsynelatende ikke er noe interessant).
Så vidt jeg vet, ble Shodan.io-søkemotoren brukt til å oppdage ClickHouse-serveren (ca Jeg skrev separat) i forbindelse med et spesielt manus , som sjekket den funnet databasen for manglende autentisering og listet opp alle dens tabeller. På den tiden så det ut til å være 474 av dem.
Fra dokumentasjonen vet vi at ClickHouse-serveren som standard lytter til HTTP på port 8123. Derfor, for å se hva som finnes i tabellene, er det nok å kjøre noe som denne SQL-spørringen:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Som et resultat av å utføre forespørselen, er det som sannsynligvis kan returneres det som er angitt i skjermbildet nedenfor:
Fra skjermbildet er det tydelig at informasjonen i feltet HOVEDER inneholder data om plasseringen (breddegrad og lengdegrad) til brukeren, hans IP-adresse, informasjon om enheten han koblet til tjenesten fra, OS-versjon osv.
Hvis det gikk opp for noen å endre SQL-spørringen litt, for eksempel, slik:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
da kan noe som ligner personopplysningene til ansatte returneres, nemlig: fullt navn, fødselsdato, kjønn, skatteidentifikasjonsnummer, registrerings- og faktiske bostedsadresser, telefonnumre, stillinger, e-postadresser og mye mer:
All denne informasjonen fra skjermbildet ovenfor er veldig lik HR-dataene fra 1C: Enterprise 8.3.
Ta en nærmere titt på parameteren API_USER_TOKEN du tror kanskje at dette er en "fungerende" token som du kan utføre forskjellige handlinger på vegne av brukeren med, inkludert innhenting av hans personlige data. Men jeg kan selvfølgelig ikke si dette.
For øyeblikket er det ingen informasjon om at ClickHouse-serveren fortsatt er fritt tilgjengelig på samme IP-adresse.
Kilde: www.habr.com