Veľa píšem o objavovaní voľne prístupných databáz takmer vo všetkých krajinách sveta, ale o ruských databázach vo verejnej sfére nezostali takmer žiadne správy. Aj keď nedávno o „ruke Kremľa“, ktorú sa holandský výskumník bál objaviť vo viac ako 2000 otvorených databázach.
Môže existovať mylná predstava, že v Rusku je všetko skvelé a majitelia veľkých ruských online projektov zodpovedne pristupujú k ukladaniu používateľských údajov. Ponáhľam sa vyvrátiť tento mýtus pomocou tohto príkladu.
Ruskej online lekárskej službe DOC+ sa zrejme podarilo ponechať verejne dostupnú databázu ClickHouse s prístupovými denníkmi. Bohužiaľ, protokoly vyzerajú tak detailne, že mohli uniknúť osobné údaje zamestnancov, partnerov a klientov služby.
Najprv prvé veci...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
So mnou, ako vlastníkom kanála Telegram ““, ozval sa čitateľ kanála, ktorý si želal zostať v anonymite, a nahlásil doslova toto:
Na internete bol objavený otvorený server ClickHouse, ktorý patrí spoločnosti doc+. Adresa IP servera sa zhoduje s adresou IP, na ktorú je nakonfigurovaná doména docplus.ru.
Z Wikipédie: DOC+ (New Medicine LLC) je ruská lekárska spoločnosť poskytujúca služby v oblasti telemedicíny, privolanie lekára doma, skladovanie a spracovanie osobné zdravotné údaje. Spoločnosť získala investície od spoločnosti Yandex.
Podľa zhromaždených informácií bola databáza ClickHouse skutočne voľne prístupná a každý, kto poznal IP adresu, z nej mohol získať údaje. Tieto údaje sa pravdepodobne ukázali ako denníky prístupu k službám.
Ako vidíte na obrázku vyššie, okrem webového servera www.docplus.ru a servera ClickHouse (port 9000) visí databáza MongoDB dokorán na rovnakej IP adrese (v ktorej zjavne nič nie je zaujímavé).
Pokiaľ viem, vyhľadávací nástroj Shodan.io sa použil na objavenie servera ClickHouse (asi Písal som samostatne) v spojení so špeciálnym scenárom , ktorý skontroloval nájdenú databázu na nedostatok autentifikácie a uviedol všetky jej tabuľky. Vtedy sa zdalo, že ich bolo 474.
Z dokumentácie vieme, že server ClickHouse štandardne počúva HTTP na porte 8123. Preto, aby ste videli, čo je obsiahnuté v tabuľkách, stačí spustiť niečo ako tento SQL dotaz:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]V dôsledku vykonania požiadavky by sa pravdepodobne mohlo vrátiť to, čo je uvedené na obrázku nižšie:
Zo snímky obrazovky je zrejmé, že informácie v poli HLAVIČKY obsahuje údaje o polohe (zemepisná šírka a dĺžka) používateľa, jeho IP adresa, informácie o zariadení, z ktorého sa pripojil k službe, verzia OS a pod.
Ak by niekoho napadlo trochu upraviť SQL dotaz, napríklad takto:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
potom by sa mohlo vrátiť niečo podobné ako osobné údaje zamestnancov, a to: celé meno, dátum narodenia, pohlavie, daňové identifikačné číslo, adresa registrácie a skutočného bydliska, telefónne čísla, pozície, e-mailové adresy a mnohé ďalšie:
Všetky tieto informácie zo snímky obrazovky vyššie sú veľmi podobné údajom o ľudských zdrojoch z 1C: Enterprise 8.3.
Pri bližšom pohľade na parameter API_USER_TOKEN možno si myslíte, že ide o „pracovný“ token, pomocou ktorého môžete v mene používateľa vykonávať rôzne akcie vrátane získavania jeho osobných údajov. Ale toto samozrejme nemôžem povedať.
Momentálne neexistujú žiadne informácie o tom, že server ClickHouse je stále voľne prístupný na rovnakej IP adrese.
Zdroj: hab.com