Ninaandika mengi juu ya ugunduzi wa hifadhidata zinazopatikana kwa uhuru katika karibu nchi zote za ulimwengu, lakini karibu hakuna habari kuhusu hifadhidata za Kirusi zilizoachwa kwenye kikoa cha umma. Ingawa hivi karibuni
Kunaweza kuwa na maoni potofu kwamba kila kitu ni nzuri nchini Urusi na wamiliki wa miradi mikubwa ya mtandaoni ya Kirusi huchukua njia ya kuwajibika ya kuhifadhi data ya mtumiaji. Ninaharakisha kufafanua hadithi hii kwa kutumia mfano huu.
Huduma ya matibabu ya mtandaoni ya Kirusi DOC+ inaonekana iliweza kuondoka kwenye hifadhidata ya ClickHouse na kumbukumbu za ufikiaji zinapatikana kwa umma. Kwa bahati mbaya, kumbukumbu zinaonekana kwa undani sana kwamba data ya kibinafsi ya wafanyikazi, washirika na wateja wa huduma inaweza kuvuja.
Mambo ya kwanza kwanza...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Na mimi, kama mmiliki wa kituo cha Telegraph "
Seva iliyofunguliwa ya ClickHouse iligunduliwa kwenye Mtandao, ambayo ni ya hati ya kampuni+. Anwani ya IP ya seva inalingana na anwani ya IP ambayo kikoa cha docplus.ru kimesanidiwa.
Kutoka Wikipedia: DOC+ (New Medicine LLC) ni kampuni ya matibabu ya Kirusi inayotoa huduma katika uwanja wa telemedicine, ikimwita daktari nyumbani, kuhifadhi na usindikaji. data ya matibabu ya kibinafsi. Kampuni hiyo ilipokea uwekezaji kutoka kwa Yandex.
Kwa kuzingatia habari iliyokusanywa, hifadhidata ya ClickHouse ilipatikana kwa uhuru, na mtu yeyote, akijua anwani ya IP, angeweza kupata data kutoka kwake. Data hii huenda ikawa kumbukumbu za ufikiaji wa huduma.
Kama unavyoona kutoka kwa picha hapo juu, pamoja na seva ya wavuti ya www.docplus.ru na seva ya ClickHouse (bandari 9000), hifadhidata ya MongoDB imening'inia wazi kwenye anwani ile ile ya IP (ambayo, inaonekana, hakuna chochote. ya kuvutia).
Kwa kadiri ninavyojua, injini ya utaftaji ya Shodan.io ilitumiwa kugundua seva ya ClickHouse (kuhusu
Kutoka kwa nyaraka tunajua kuwa kwa chaguo-msingi, seva ya ClickHouse inasikiliza HTTP kwenye bandari 8123. Kwa hivyo, ili kuona kile kilichomo kwenye jedwali, inatosha kuendesha kitu kama swali hili la SQL:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]
Kama matokeo ya kutekeleza ombi, kinachoweza kurudishwa ni kile kinachoonyeshwa kwenye picha ya skrini hapa chini:
Kutoka kwa skrini ni wazi kuwa habari kwenye uwanja VICHWA ina data kuhusu eneo (latitudo na longitudo) ya mtumiaji, anwani yake ya IP, taarifa kuhusu kifaa ambacho aliunganisha kwa huduma, toleo la OS, nk.
Ikiwa ilitokea kwa mtu kurekebisha kidogo swala la SQL, kwa mfano, kama hii:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
basi kitu sawa na data ya kibinafsi ya wafanyikazi inaweza kurejeshwa, ambayo ni: jina kamili, tarehe ya kuzaliwa, jinsia, nambari ya kitambulisho cha ushuru, usajili na anwani halisi ya mahali pa kuishi, nambari za simu, nafasi, anwani za barua pepe na mengi zaidi:
Maelezo haya yote kutoka kwenye picha ya skrini hapo juu yanafanana sana na data ya HR kutoka 1C: Enterprise 8.3.
Kuangalia kwa karibu parameter API_USER_TOKEN unaweza kufikiri kwamba hii ni ishara ya "kufanya kazi" ambayo unaweza kufanya vitendo mbalimbali kwa niaba ya mtumiaji, ikiwa ni pamoja na kupata data yake ya kibinafsi. Lakini bila shaka siwezi kusema hivi.
Kwa sasa hakuna taarifa kwamba seva ya ClickHouse bado inapatikana kwa uhuru katika anwani sawa ya IP.
Chanzo: mapenzi.com