Dużo piszę o odkryciu ogólnodostępnych baz danych w prawie wszystkich krajach świata, ale prawie nie ma wiadomości o pozostawieniu rosyjskich baz danych w domenie publicznej. Choć niedawno o „ręce Kremla”, którą holenderski badacz z przerażeniem odkrył w ponad 2000 otwartych bazach danych.
Może panować błędne przekonanie, że w Rosji wszystko jest świetnie, a właściciele dużych rosyjskich projektów internetowych odpowiedzialnie podchodzą do przechowywania danych użytkowników. Spieszę obalić ten mit na tym przykładzie.
Rosyjskiemu internetowemu serwisowi medycznemu DOC+ najwyraźniej udało się udostępnić bazę danych ClickHouse z dziennikami dostępu. Niestety logi wyglądają na tak szczegółowe, że istnieje ryzyko wycieku danych osobowych pracowników, partnerów i klientów serwisu.
Wszystko w porządku ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Ze mną, jako właściciel kanału Telegram ”„, czytelnik kanału, który chciał pozostać anonimowy, skontaktował się z nami i przekazał dosłownie następującą informację:
W Internecie odkryto otwarty serwer ClickHouse, który należy do firmy doc+. Adres IP serwera jest zgodny z adresem IP, dla którego skonfigurowana jest domena docplus.ru.
Z Wikipedii: DOC+ (New Medicine LLC) to rosyjska firma medyczna świadcząca usługi z zakresu telemedycyny, wzywania lekarza do domu, przechowywania i przetwarzania osobiste dane medyczne. Firma otrzymała inwestycje od Yandex.
Sądząc po zebranych informacjach, baza danych ClickHouse rzeczywiście była ogólnodostępna i każdy, znając adres IP, mógł pozyskać z niej dane. Dane te prawdopodobnie okazały się logami dostępu do usług.
Jak widać na powyższym obrazku, oprócz serwera WWW www.docplus.ru i serwera ClickHouse (port 9000), baza danych MongoDB wisi szeroko otwarta na tym samym adresie IP (w którym najwyraźniej nie ma nic ciekawy).
O ile mi wiadomo, do odnalezienia serwera ClickHouse użyto wyszukiwarki Shodan.io (ok pisałem osobno) w połączeniu ze specjalnym scenariuszem , który sprawdził znalezioną bazę danych pod kątem braku uwierzytelnienia i wyświetlił listę wszystkich jej tabel. W tamtym czasie wydawało się, że jest ich 474.
Z dokumentacji wiemy, że serwer ClickHouse domyślnie nasłuchuje protokołu HTTP na porcie 8123. Dlatego, aby zobaczyć, co jest zawarte w tabelach, wystarczy uruchomić coś takiego jak to zapytanie SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]W wyniku wykonania żądania prawdopodobnie zwrócone zostanie to, co pokazano na zrzucie ekranu poniżej:
Ze zrzutu ekranu jasno wynika, że informacje w polu NAGŁÓWKI zawiera dane o lokalizacji (długość i szerokość geograficzna) użytkownika, jego adresie IP, informacje o urządzeniu, z którego połączył się z usługą, wersji systemu operacyjnego itp.
Gdyby komuś przyszło do głowy lekko zmodyfikować zapytanie SQL, na przykład tak:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
wówczas mogłoby zostać zwrócone coś podobnego do danych osobowych pracowników, a mianowicie: imię i nazwisko, data urodzenia, płeć, numer NIP, adres rejestracyjny i faktyczne miejsce zamieszkania, numery telefonów, stanowiska, adresy e-mail i wiele więcej:
Wszystkie te informacje z powyższego zrzutu ekranu są bardzo podobne do danych HR z 1C: Enterprise 8.3.
Przyjrzyjmy się bliżej parametrowi API_USER_TOKEN możesz pomyśleć, że jest to „działający” token, za pomocą którego możesz w imieniu użytkownika wykonywać różne czynności, w tym pozyskiwać jego dane osobowe. Ale oczywiście nie mogę tego powiedzieć.
W tej chwili nie ma informacji, aby serwer ClickHouse był nadal swobodnie dostępny pod tym samym adresem IP.
Źródło: www.habr.com