Unë shkruaj shumë për zbulimin e bazave të të dhënave të aksesueshme lirisht në pothuajse të gjitha vendet e botës, por pothuajse nuk ka asnjë lajm për bazat e të dhënave ruse në domenin publik. Edhe pse kohët e fundit për "dorën e Kremlinit", të cilën një studiues holandez u frikësua kur e zbuloi në më shumë se 2000 baza të dhënash të hapura.
Mund të ketë një keqkuptim se gjithçka është e shkëlqyeshme në Rusi dhe pronarët e projekteve të mëdha ruse në internet marrin një qasje të përgjegjshme për ruajtjen e të dhënave të përdoruesve. Unë nxitoj ta hedh poshtë këtë mit duke përdorur këtë shembull.
Shërbimi mjekësor online rus DOC+ me sa duket arriti të linte bazën e të dhënave ClickHouse me regjistrat e aksesit të disponueshëm publikisht. Fatkeqësisht, regjistrat duken aq të detajuar sa të dhënat personale të punonjësve, partnerëve dhe klientëve të shërbimit mund të rrjedhin.
Gjërat e para në fillim...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Me mua, si pronar i kanalit Telegram "", një lexues i kanalit i cili dëshironte të mbetej anonim ra në kontakt dhe raportoi fjalë për fjalë si vijon:
Në internet u zbulua një server i hapur ClickHouse, i cili i përket kompanisë doc+. Adresa IP e serverit përputhet me adresën IP në të cilën është konfiguruar domeni docplus.ru.
Nga Wikipedia: DOC+ (New Medicine LLC) është një kompani mjekësore ruse që ofron shërbime në fushën e telemjekësisë, duke thirrur një mjek në shtëpi, ruajtjen dhe përpunimin të dhënat personale mjekësore. Kompania mori investime nga Yandex.
Duke gjykuar nga informacioni i mbledhur, baza e të dhënave ClickHouse ishte me të vërtetë e aksesueshme lirisht dhe kushdo, duke ditur adresën IP, mund të merrte të dhëna prej saj. Këto të dhëna me sa duket rezultuan të ishin regjistrat e aksesit të shërbimit.
Siç mund ta shihni nga fotografia e mësipërme, përveç serverit të internetit www.docplus.ru dhe serverit ClickHouse (porti 9000), baza e të dhënave MongoDB është e hapur në të njëjtën adresë IP (në të cilën, me sa duket, nuk ka asgjë interesante).
Me sa di unë, motori i kërkimit Shodan.io është përdorur për të zbuluar serverin ClickHouse (rreth Kam shkruar veçmas) në lidhje me një skenar të veçantë , e cila kontrolloi bazën e të dhënave të gjetur për mungesë vërtetimi dhe renditi të gjitha tabelat e saj. Në atë kohë dukej se ishin 474 të tillë.
Nga dokumentacioni ne e dimë se si parazgjedhje, serveri ClickHouse dëgjon HTTP në portin 8123. Prandaj, për të parë se çfarë përmbahet në tabela, mjafton të ekzekutoni diçka si kjo pyetje SQL:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Si rezultat i ekzekutimit të kërkesës, ajo që ndoshta mund të kthehet është ajo që tregohet në pamjen e mëposhtme të ekranit:
Nga pamja e ekranit është e qartë se informacioni në terren TOKËT përmban të dhëna për vendndodhjen (gjerësinë dhe gjatësinë) e përdoruesit, adresën e tij IP, informacionin për pajisjen nga e cila është lidhur me shërbimin, versionin e OS, etj.
Nëse i ndodhi dikujt të modifikojë pak pyetjen SQL, për shembull, si kjo:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
atëherë mund të kthehet diçka e ngjashme me të dhënat personale të punonjësve, domethënë: emri i plotë, data e lindjes, gjinia, numri i identifikimit tatimor, adresat e regjistrimit dhe vendbanimi aktual, numrat e telefonit, pozicionet, adresat e emailit dhe shumë më tepër:
I gjithë ky informacion nga pamja e mësipërme është shumë i ngjashëm me të dhënat e HR nga 1C: Enterprise 8.3.
Një vështrim më i afërt i parametrit API_USER_TOKEN ju mund të mendoni se kjo është një shenjë "pune" me të cilën mund të kryeni veprime të ndryshme në emër të përdoruesit, duke përfshirë marrjen e të dhënave të tij personale. Por sigurisht që nuk mund ta them këtë.
Për momentin nuk ka asnjë informacion që serveri ClickHouse është ende lirisht i aksesueshëm në të njëjtën adresë IP.
Burimi: www.habr.com