Veliko pišem o odkritju prosto dostopnih baz podatkov v skoraj vseh državah sveta, vendar o ruskih bazah podatkov v javnosti skoraj ni več novic. Čeprav pred kratkim o »roki Kremlja«, ki jo je nizozemski raziskovalec prestrašeno odkril v več kot 2000 odprtih bazah podatkov.
Morda obstaja napačno prepričanje, da je v Rusiji vse super in da lastniki velikih ruskih spletnih projektov odgovorno pristopijo k shranjevanju uporabniških podatkov. S tem primerom hitim razblinjati ta mit.
Ruski spletni medicinski storitvi DOC+ je očitno uspelo pustiti javno dostopno bazo podatkov ClickHouse z dnevniki dostopa. Na žalost so dnevniki videti tako podrobni, da bi lahko pricurljali osebni podatki zaposlenih, partnerjev in strank storitve.
Najprej najprej ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Z mano, kot lastnikom kanala Telegram "« se je oglasil bralec kanala, ki je želel ostati anonimen in sporočil dobesedno naslednje:
Na spletu so odkrili odprt strežnik ClickHouse, ki pripada podjetju doc+. Naslov IP strežnika se ujema z naslovom IP, na katerega je konfigurirana domena docplus.ru.
Iz Wikipedije: DOC+ (New Medicine LLC) je rusko medicinsko podjetje, ki nudi storitve na področju telemedicine, klicanja zdravnika na dom, shranjevanja in obdelave osebnih zdravstvenih podatkov. Podjetje je prejelo naložbe Yandexa.
Sodeč po zbranih podatkih je bila baza ClickHouse res prosto dostopna in je podatke iz nje lahko pridobil vsakdo, ki je poznal naslov IP. Izkazalo se je, da so ti podatki dnevniki dostopa do storitve.
Kot lahko vidite na zgornji sliki, poleg spletnega strežnika www.docplus.ru in strežnika ClickHouse (vrata 9000), na istem naslovu IP (v katerem očitno ni ničesar) visi na stežaj odprta baza podatkov MongoDB zanimivo).
Kolikor vem, je bil iskalnik Shodan.io uporabljen za odkrivanje strežnika ClickHouse (približno Napisal sem ločeno) v povezavi s posebnim scenarijem , ki je v najdeni bazi podatkov preveril pomanjkanje avtentikacije in izpisal vse njene tabele. Takrat se je zdelo, da jih je 474.
Iz dokumentacije vemo, da strežnik ClickHouse privzeto posluša HTTP na vratih 8123. Če želite videti, kaj je v tabelah, je dovolj, da zaženete nekaj podobnega tej poizvedbi SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Kot rezultat izvedbe zahteve bi bilo verjetno vrnjeno tisto, kar je prikazano na spodnjem posnetku zaslona:
Iz posnetka zaslona je razvidno, da so informacije v polju GLAVE vsebuje podatke o lokaciji (zemljepisna širina in dolžina) uporabnika, njegov IP naslov, podatke o napravi, s katere se je povezal na storitev, različico OS itd.
Če bi komu prišlo na misel, da bi nekoliko spremenil poizvedbo SQL, na primer takole:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
potem bi lahko vrnili nekaj podobnega osebnim podatkom zaposlenih, in sicer: polno ime, datum rojstva, spol, davčno številko, naslov registracije in dejanskega prebivališča, telefonske številke, položaje, elektronske naslove in še veliko več:
Vse te informacije iz zgornjega posnetka zaslona so zelo podobne kadrovskim podatkom iz 1C: Enterprise 8.3.
Če podrobneje pogledamo parameter API_USER_TOKEN morda mislite, da je to "delujoč" žeton, s katerim lahko izvajate različna dejanja v imenu uporabnika, vključno s pridobivanjem njegovih osebnih podatkov. Ampak tega seveda ne morem reči.
Trenutno ni podatkov, da je strežnik ClickHouse še vedno prosto dostopen na istem IP naslovu.
Vir: www.habr.com