Пуно пишем о открићу слободно доступних база података у скоро свим земљама света, али скоро да нема вести о руским базама података у јавном домену. Иако недавно о „руци Кремља“, коју је холандски истраживач уплашио открити у више од 2000 отворених база података.
Можда постоји заблуда да је у Русији све одлично и да власници великих руских онлајн пројеката одговорно приступају чувању корисничких података. Пожурим да разоткријем овај мит користећи овај пример.
Руска онлајн медицинска услуга ДОЦ+ је очигледно успела да остави ЦлицкХоусе базу података са евиденцијама приступа јавно доступним. Нажалост, дневници изгледају толико детаљно да су лични подаци запослених, партнера и клијената сервиса могли да процуре.
Идемо редом...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Са мном, као власником Телеграм канала "“, јавио се читалац канала који је желео да остане анониман и буквално пријавио следеће:
На Интернету је откривен отворени ЦлицкХоусе сервер који припада компанији доц+. ИП адреса сервера одговара ИП адреси на коју је конфигурисан домен доцплус.ру.
Из Википедије: ДОЦ+ (Нев Медицине ЛЛЦ) је руска медицинска компанија која пружа услуге у области телемедицине, позивања лекара код куће, складиштења и обраде лични медицински подаци. Компанија је добила инвестиције од Иандек-а.
Судећи по прикупљеним информацијама, ЦлицкХоусе база података је заиста била слободно доступна и свако је, знајући ИП адресу, могао да добије податке из ње. Испоставило се да су ови подаци били евиденција приступа сервису.
Као што видите са горње слике, поред веб сервера ввв.доцплус.ру и ЦлицкХоусе сервера (порт 9000), МонгоДБ база података виси широм отворена на истој ИП адреси (на којој, по свему судећи, нема ничега занимљиво).
Колико ја знам, Сходан.ио претраживач је коришћен за откривање ЦлицкХоусе сервера (око Написао сам одвојено) у комбинацији са посебним скриптом , који је проверио пронађену базу података за недостатак аутентификације и навео све њене табеле. Тада се чинило да их је било 474.
Из документације знамо да по подразумеваној вредности, ЦлицкХоусе сервер слуша ХТТП на порту 8123. Стога, да бисте видели шта се налази у табелама, довољно је покренути нешто попут овог СКЛ упита:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Као резултат извршења захтева, оно што би вероватно могло да буде враћено је оно што је приказано на снимку екрана испод:
Са снимка екрана је јасно да су информације на терену ХЕАДЕРС садржи податке о локацији (географској ширини и дужини) корисника, његовој ИП адреси, подацима о уређају са којег се повезао на сервис, верзији ОС-а итд.
Ако би некоме пало на памет да мало измени СКЛ упит, на пример, овако:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
тада би се могло вратити нешто слично личним подацима запослених, а то су: пуно име, датум рођења, пол, порески идентификациони број, адресе регистрације и стварног пребивалишта, бројеви телефона, позиције, адресе е-поште и још много тога:
Све ове информације са горњег снимка екрана су веома сличне ХР подацима из 1Ц: Ентерприсе 8.3.
Пажљивије посматрајући параметар АПИ_УСЕР_ТОКЕН можда мислите да је ово „радни“ токен са којим можете обављати различите радње у име корисника, укључујући добијање његових личних података. Али наравно не могу ово да кажем.
Тренутно нема информација да је ЦлицкХоусе сервер и даље слободно доступан на истој ИП адреси.
Извор: ввв.хабр.цом