Jag skriver mycket om upptäckten av fritt tillgängliga databaser i nästan alla länder i världen, men det finns nästan inga nyheter om ryska databaser kvar i det offentliga området. Fast nyligen om "Kremlins hand", som en holländsk forskare blev rädd att upptäcka i mer än 2000 XNUMX öppna databaser.
Det kan finnas en missuppfattning att allt är bra i Ryssland och ägarna av stora ryska onlineprojekt tar ett ansvarsfullt tillvägagångssätt för att lagra användardata. Jag skyndar mig att avslöja denna myt med det här exemplet.
Den ryska onlineläkartjänsten DOC+ lyckades tydligen lämna ClickHouse-databasen med åtkomstloggar offentligt tillgängliga. Tyvärr ser loggarna så detaljerade ut att personuppgifter från anställda, partners och klienter till tjänsten eventuellt kan läcka.
Först till kvarn...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Med mig, som ägare av Telegram-kanalen "", tog en kanalläsare som ville vara anonym kontakt och rapporterade bokstavligen följande:
En öppen ClickHouse-server upptäcktes på Internet, som tillhör företaget doc+. Serverns IP-adress matchar IP-adressen som docplus.ru-domänen är konfigurerad till.
Från Wikipedia: DOC+ (New Medicine LLC) är ett ryskt medicinskt företag som tillhandahåller tjänster inom telemedicin, att ringa en läkare i hemmet, lagring och bearbetning personliga medicinska uppgifter. Företaget fick investeringar från Yandex.
Att döma av den insamlade informationen var ClickHouse-databasen verkligen fritt tillgänglig, och alla som kände till IP-adressen kunde få data från den. Dessa uppgifter visade sig förmodligen vara loggar för åtkomst till tjänster.
Som du kan se från bilden ovan, förutom webbservern www.docplus.ru och ClickHouse-servern (port 9000), hänger MongoDB-databasen vidöppen på samma IP-adress (i vilken det tydligen inte finns något intressant).
Så vitt jag vet användes Shodan.io-sökmotorn för att upptäcka ClickHouse-servern (ca Jag skrev separat) i samband med ett speciellt manus , som kontrollerade den hittade databasen för bristande autentisering och listade alla dess tabeller. Vid den tiden verkade det vara 474 av dem.
Från dokumentationen vet vi att ClickHouse-servern som standard lyssnar på HTTP på port 8123. Därför, för att se vad som finns i tabellerna, räcker det att köra något som denna SQL-fråga:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Som ett resultat av exekvering av begäran kan det som troligen returneras är det som anges i skärmdumpen nedan:
Från skärmdumpen är det tydligt att informationen i fältet RUBRIK innehåller data om användarens plats (latitud och longitud), hans IP-adress, information om enheten från vilken han anslutit till tjänsten, OS-version, etc.
Om det fallit någon på att ändra SQL-frågan något, till exempel, så här:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
då kan något som liknar de anställdas personuppgifter returneras, nämligen: fullständigt namn, födelsedatum, kön, skatteregistreringsnummer, registrerings- och faktiska bosättningsadresser, telefonnummer, befattningar, e-postadresser och mycket mer:
All denna information från skärmdumpen ovan är mycket lik HR-data från 1C: Enterprise 8.3.
Ta en närmare titt på parametern API_USER_TOKEN du kanske tror att detta är en "fungerande" token med vilken du kan utföra olika åtgärder för användarens räkning, inklusive att få tag på hans personuppgifter. Men jag kan naturligtvis inte säga detta.
För närvarande finns det ingen information om att ClickHouse-servern fortfarande är fritt tillgänglig på samma IP-adress.
Källa: will.com