Kuring nulis loba ngeunaan kapanggihna database diaksés kalawan bébas di ampir kabéh nagara di dunya, tapi ampir euweuh warta ngeunaan database Rusia ditinggalkeun dina domain publik. Sanajan anyar ngeunaan "leungeun Kremlin," nu panalungtik Walanda sieun manggihan di leuwih ti 2000 database kabuka.
Bisa jadi aya misconception yén sagalana geus gede di Rusia jeung nu boga proyék online Rusia badag nyandak pendekatan jawab pikeun nyimpen data pamaké. Kuring hasten mun debunk mitos ieu ngagunakeun conto ieu.
Palayanan médis online Rusia DOC + katingalina tiasa ngantunkeun pangkalan data ClickHouse kalayan log aksés sayogi umum. Hanjakalna, logna katingalina rinci pisan yén data pribadi karyawan, mitra sareng klien jasa éta tiasa bocor.
Hal kahiji kahiji ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Sareng abdi, salaku nu gaduh saluran Telegram "", pamaca saluran anu hoyong tetep anonim ngahubungi sareng ngalaporkeun sacara harfiah kieu:
Pangladén ClickHouse anu kabuka kapanggih dina Internét, milik perusahaan doc+. Alamat IP server cocog sareng alamat IP dimana domain docplus.ru dikonpigurasi.
Ti Wikipédia: DOC + (New Medicine LLC) mangrupikeun perusahaan médis Rusia anu nyayogikeun jasa dina widang telemedicine, nelepon dokter di bumi, neundeun sareng ngolah. data médis pribadi. Pausahaan nampi investasi ti Yandex.
Ditilik ku inpormasi anu dikumpulkeun, pangkalan data ClickHouse memang tiasa diaksés sacara bébas, sareng saha waé, anu terang alamat IP, tiasa nampi data ti éta. Data ieu sigana janten log aksés jasa.
Sakumaha anjeun tiasa tingali tina gambar di luhur, sajaba pangladén wéb www.docplus.ru sareng pangladén ClickHouse (port 9000), pangkalan data MongoDB dibuka lega dina alamat IP anu sami (dimana, katingalina, teu aya nanaon. metot).
Sajauh anu kuring terang, mesin pencari Shodan.io dianggo pikeun mendakan server ClickHouse (kira-kira Kuring nulis misah) ditéang jeung naskah husus , nu dipariksa database kapanggih pikeun kurangna auténtikasi sarta didaptarkeun sagala tabel na. Waktu éta sigana aya 474 di antarana.
Tina dokuméntasi kami terang yén sacara standar, server ClickHouse ngadangukeun HTTP dina port 8123. Ku alatan éta, pikeun ningali naon anu dikandung dina tabél, éta cukup pikeun ngajalankeun hiji hal kawas query SQL ieu:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Salaku hasil tina ngaéksekusi pamenta, anu sigana tiasa dipulangkeun nyaéta anu dituduhkeun dina layar di handap ieu:
Ti screenshot jelas yén informasi dina widang HEADERS ngandung data ngeunaan lokasi (lintang sareng bujur) pangguna, alamat IP na, inpormasi ngeunaan alat dimana anjeunna nyambung ka jasa, versi OS, jsb.
Upami aya jalma anu rada ngarobih pamundut SQL, contona, sapertos kieu:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
teras hal anu sami sareng data pribadi karyawan tiasa dipulangkeun, nyaéta: nami lengkep, tanggal lahir, jenis kelamin, nomer idéntifikasi pajeg, pendaptaran sareng alamat tempat tinggal saleresna, nomer telepon, posisi, alamat email sareng seueur deui:
Sadaya inpormasi ieu tina layar di luhur sami sareng data HR ti 1C: Enterprise 8.3.
Nyokot katingal ngadeukeutan dina parameter API_USER_TOKEN Anjeun panginten tiasa nyangka yén ieu mangrupikeun token "kerja" dimana anjeun tiasa ngalakukeun sababaraha tindakan atas nama pangguna, kalebet kéngingkeun data pribadina. Tapi tangtu kuring teu bisa nyebutkeun ieu.
Dina momen teu aya inpormasi yén server ClickHouse masih tiasa diaksés sacara bébas dina alamat IP anu sami.
sumber: www.habr.com