Escrevo muito sobre a descoberta de bancos de dados de acesso gratuito em quase todos os países do mundo, mas quase não há notícias sobre bancos de dados russos que sejam de domínio público. Embora recentemente sobre a “mão do Kremlin”, que um investigador holandês teve medo de descobrir em mais de 2000 bases de dados abertas.
Pode haver um equívoco de que tudo está bem na Rússia e que os proprietários de grandes projetos online russos adotam uma abordagem responsável no armazenamento de dados do usuário. Apresso-me em desmascarar esse mito usando este exemplo.
O serviço médico online russo DOC+ aparentemente conseguiu deixar o banco de dados ClickHouse com registros de acesso disponíveis publicamente. Infelizmente, os logs parecem tão detalhados que os dados pessoais de funcionários, parceiros e clientes do serviço podem vazar.
Tudo em ordem ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Comigo, como dono do canal Telegram "", um leitor do canal que desejou manter o anonimato entrou em contato e relatou literalmente o seguinte:
Foi descoberto na Internet um servidor ClickHouse aberto, que pertence à empresa doc+. O endereço IP do servidor corresponde ao endereço IP para o qual o domínio docplus.ru está configurado.
De Wikipedia: DOC+ (New Medicine LLC) é uma empresa médica russa que presta serviços na área de telemedicina, ligando para um médico em casa, armazenamento e processamento dados médicos pessoais. A empresa recebeu investimentos da Yandex.
A julgar pelas informações coletadas, o banco de dados ClickHouse era de fato acessível gratuitamente e qualquer pessoa, conhecendo o endereço IP, poderia obter dados dele. Presumivelmente, esses dados eram registros de acesso ao serviço.
Como você pode ver na imagem acima, além do servidor web www.docplus.ru e do servidor ClickHouse (porta 9000), o banco de dados MongoDB está aberto no mesmo endereço IP (no qual, aparentemente, não há nada interessante).
Pelo que eu sei, o mecanismo de busca Shodan.io foi usado para descobrir o servidor ClickHouse (cerca de Escrevi separadamente) em conjunto com um roteiro especial , que verificou o banco de dados encontrado em busca de falta de autenticação e listou todas as suas tabelas. Naquela época parecia haver 474 deles.
Pela documentação sabemos que por padrão, o servidor ClickHouse escuta HTTP na porta 8123. Portanto, para ver o que está contido nas tabelas, basta executar algo como esta consulta SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Como resultado da execução da solicitação, o que provavelmente poderá ser retornado é o que está indicado na imagem abaixo:
Pela captura de tela fica claro que as informações no campo CABEÇALHOS contém dados sobre a localização (latitude e longitude) do usuário, seu endereço IP, informações sobre o dispositivo a partir do qual ele se conectou ao serviço, versão do sistema operacional, etc.
Se ocorreu a alguém modificar ligeiramente a consulta SQL, por exemplo, assim:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
então poderia ser devolvido algo semelhante aos dados pessoais dos colaboradores, nomeadamente: nome completo, data de nascimento, género, número de identificação fiscal, moradas de registo e residência efetiva, números de telefone, cargos, endereços de email e muito mais:
Todas essas informações da captura de tela acima são muito semelhantes aos dados de RH do 1C:Enterprise 8.3.
Olhando mais de perto o parâmetro API_USER_TOKEN você pode pensar que este é um token “funcional” com o qual você pode realizar várias ações em nome do usuário, incluindo a obtenção de seus dados pessoais. Mas é claro que não posso dizer isso.
No momento não há informações de que o servidor ClickHouse ainda esteja acessível gratuitamente no mesmo endereço IP.
Fonte: habr.com