Scriu multe despre descoperirea bazelor de date liber accesibile în aproape toate țările lumii, dar aproape că nu există știri despre bazele de date rusești rămase în domeniul public. Deși recent despre „mâna Kremlinului”, pe care un cercetător olandez s-a speriat să o descopere în peste 2000 de baze de date deschise.
Poate exista o concepție greșită că totul este grozav în Rusia, iar proprietarii de proiecte online mari din Rusia adoptă o abordare responsabilă în stocarea datelor utilizatorilor. Mă grăbesc să dezminți acest mit folosind acest exemplu.
Se pare că serviciul medical online rus DOC+ a reușit să părăsească baza de date ClickHouse cu jurnalele de acces disponibile public. Din păcate, jurnalele arată atât de detaliate încât ar fi putut fi scurse datele personale ale angajaților, partenerilor și clienților serviciului.
Să începem cu începutul...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Cu mine, ca proprietar al canalului Telegram "", un cititor de canal care a dorit să rămână anonim a luat legătura și a raportat literalmente următoarele:
Pe Internet a fost descoperit un server ClickHouse deschis, care aparține companiei doc+. Adresa IP a serverului se potrivește cu adresa IP la care este configurat domeniul docplus.ru.
Din Wikipedia: DOC+ (New Medicine LLC) este o companie medicală rusă care oferă servicii în domeniul telemedicinei, chemând un medic la domiciliu, depozitare și procesare date medicale personale. Compania a primit investiții de la Yandex.
Judecând după informațiile colectate, baza de date ClickHouse era într-adevăr accesibilă gratuit și oricine, știind adresa IP, putea obține date din aceasta. Aceste date probabil s-au dovedit a fi jurnalele de acces la serviciu.
După cum puteți vedea din imaginea de mai sus, pe lângă serverul web www.docplus.ru și serverul ClickHouse (portul 9000), baza de date MongoDB este larg deschisă pe aceeași adresă IP (în care, aparent, nu există nimic interesant).
Din câte știu, motorul de căutare Shodan.io a fost folosit pentru a descoperi serverul ClickHouse (aproximativ Am scris separat) împreună cu un scenariu special , care a verificat baza de date găsită pentru lipsă de autentificare și a enumerat toate tabelele acesteia. La acea vreme părea să fie 474 dintre ei.
Din documentație știm că implicit, serverul ClickHouse ascultă HTTP pe portul 8123. Prin urmare, pentru a vedea ce este conținut în tabele, este suficient să rulați ceva ca această interogare SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Ca urmare a executării cererii, ceea ce probabil ar putea fi returnat este ceea ce este indicat în captura de ecran de mai jos:
Din captură de ecran este clar că informațiile din câmp ANTETURI conține date despre locația (latitudine și longitudine) utilizatorului, adresa lui IP, informații despre dispozitivul de pe care s-a conectat la serviciu, versiunea OS etc.
Dacă cineva i s-a întâmplat să modifice ușor interogarea SQL, de exemplu, astfel:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
atunci ar putea fi returnat ceva asemănător cu datele personale ale angajaților, și anume: numele complet, data nașterii, sexul, numărul de identificare fiscală, adresele de înregistrare și de reședință efectivă, numerele de telefon, posturile, adresele de e-mail și multe altele:
Toate aceste informații din captura de ecran de mai sus sunt foarte asemănătoare cu datele HR de la 1C: Enterprise 8.3.
Aruncând o privire mai atentă la parametru API_USER_TOKEN ați putea crede că acesta este un token „de lucru” cu care puteți efectua diverse acțiuni în numele utilizatorului, inclusiv obținerea datelor sale personale. Dar desigur că nu pot spune asta.
Momentan nu există informații că serverul ClickHouse este încă accesibil la aceeași adresă IP.
Sursa: www.habr.com