ప్రపంచంలోని దాదాపు అన్ని దేశాలలో ఉచితంగా యాక్సెస్ చేయగల డేటాబేస్ల ఆవిష్కరణ గురించి నేను చాలా వ్రాస్తాను, అయితే పబ్లిక్ డొమైన్లో రష్యన్ డేటాబేస్ల గురించి దాదాపుగా వార్తలు లేవు. ఇటీవల అయినప్పటికీ "హ్యాండ్ ఆఫ్ క్రెమ్లిన్" గురించి ఒక డచ్ పరిశోధకుడు 2000 కంటే ఎక్కువ ఓపెన్ డేటాబేస్లలో కనుగొన్నందుకు భయపడ్డాడు.
రష్యాలో ప్రతిదీ గొప్పదని ఒక దురభిప్రాయం ఉండవచ్చు మరియు పెద్ద రష్యన్ ఆన్లైన్ ప్రాజెక్ట్ల యజమానులు వినియోగదారు డేటాను నిల్వ చేయడానికి బాధ్యతాయుతమైన విధానాన్ని తీసుకుంటారు. నేను ఈ ఉదాహరణను ఉపయోగించి ఈ పురాణాన్ని తొలగించడానికి తొందరపడ్డాను.
రష్యన్ ఆన్లైన్ వైద్య సేవ DOC+ పబ్లిక్గా అందుబాటులో ఉన్న యాక్సెస్ లాగ్లతో క్లిక్హౌస్ డేటాబేస్ను వదిలివేయగలిగింది. దురదృష్టవశాత్తు, లాగ్లు చాలా వివరంగా కనిపిస్తున్నాయి, సేవ యొక్క ఉద్యోగులు, భాగస్వాములు మరియు క్లయింట్ల వ్యక్తిగత డేటా లీక్ చేయబడి ఉండవచ్చు.
మొదటి విషయాలు మొదట...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
నాతో, టెలిగ్రామ్ ఛానెల్ యజమానిగా "", అజ్ఞాతంగా ఉండాలనుకునే ఛానెల్ రీడర్ టచ్లో ఉండి, అక్షరాలా ఈ క్రింది వాటిని నివేదించారు:
ఇంటర్నెట్లో ఓపెన్ క్లిక్హౌస్ సర్వర్ కనుగొనబడింది, ఇది కంపెనీ పత్రం+కి చెందినది. సర్వర్ IP చిరునామా docplus.ru డొమైన్ కాన్ఫిగర్ చేయబడిన IP చిరునామాతో సరిపోలుతుంది.
వికీపీడియా నుండి: DOC+ (న్యూ మెడిసిన్ LLC) అనేది టెలిమెడిసిన్ రంగంలో సేవలను అందించే రష్యన్ వైద్య సంస్థ, ఇంట్లో వైద్యుడిని పిలవడం, నిల్వ చేయడం మరియు ప్రాసెసింగ్ చేయడం వ్యక్తిగత వైద్య డేటా. కంపెనీ Yandex నుండి పెట్టుబడులను పొందింది.
సేకరించిన సమాచారం ప్రకారం, ClickHouse డేటాబేస్ వాస్తవానికి ఉచితంగా అందుబాటులో ఉంటుంది మరియు ఎవరైనా, IP చిరునామాను తెలుసుకొని, దాని నుండి డేటాను పొందవచ్చు. ఈ డేటా బహుశా సర్వీస్ యాక్సెస్ లాగ్లు అని తేలింది.
మీరు పై చిత్రం నుండి చూడగలిగినట్లుగా, www.docplus.ru వెబ్ సర్వర్ మరియు క్లిక్హౌస్ సర్వర్ (పోర్ట్ 9000)తో పాటు, MongoDB డేటాబేస్ అదే IP చిరునామాపై విస్తృతంగా తెరిచి ఉంది (దీనిలో, స్పష్టంగా, ఏమీ లేదు. ఆసక్తికరమైన).
నాకు తెలిసినంతవరకు, ClickHouse సర్వర్ను కనుగొనడానికి Shodan.io శోధన ఇంజిన్ ఉపయోగించబడింది (సుమారు నేను ప్రత్యేకంగా వ్రాసాను) ప్రత్యేక స్క్రిప్ట్తో కలిపి , ఇది ప్రామాణీకరణ లేకపోవడం కోసం కనుగొనబడిన డేటాబేస్ను తనిఖీ చేసింది మరియు దాని అన్ని పట్టికలను జాబితా చేసింది. అప్పట్లో 474 మంది ఉన్నట్లు తెలుస్తోంది.
డిఫాల్ట్గా, క్లిక్హౌస్ సర్వర్ పోర్ట్ 8123లో HTTPని వింటుందని డాక్యుమెంటేషన్ నుండి మాకు తెలుసు. అందువల్ల, పట్టికలలో ఏమి ఉందో చూడడానికి, ఈ SQL ప్రశ్న వంటిదాన్ని అమలు చేస్తే సరిపోతుంది:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]అభ్యర్థనను అమలు చేయడం ఫలితంగా, దిగువ స్క్రీన్షాట్లో సూచించబడినది బహుశా తిరిగి ఇవ్వబడుతుంది:
స్క్రీన్షాట్ నుండి ఫీల్డ్లోని సమాచారం స్పష్టంగా ఉంది శీర్షికలు వినియోగదారు యొక్క స్థానం (అక్షాంశం మరియు రేఖాంశం), అతని IP చిరునామా, అతను సేవకు కనెక్ట్ చేసిన పరికరం గురించి సమాచారం, OS సంస్కరణ మొదలైన వాటి గురించి డేటాను కలిగి ఉంటుంది.
SQL ప్రశ్నను కొద్దిగా సవరించడం ఎవరికైనా సంభవించినట్లయితే, ఉదాహరణకు, ఇలా:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
అప్పుడు ఉద్యోగుల వ్యక్తిగత డేటాకు సమానమైన వాటిని తిరిగి ఇవ్వవచ్చు, అవి: పూర్తి పేరు, పుట్టిన తేదీ, లింగం, పన్ను గుర్తింపు సంఖ్య, రిజిస్ట్రేషన్ మరియు నివాస చిరునామాలు, టెలిఫోన్ నంబర్లు, స్థానాలు, ఇమెయిల్ చిరునామాలు మరియు మరిన్ని:
పై స్క్రీన్షాట్ నుండి ఈ సమాచారం మొత్తం 1C: Enterprise 8.3 నుండి HR డేటాకు చాలా పోలి ఉంటుంది.
పరామితిని నిశితంగా పరిశీలించడం API_USER_TOKEN ఇది "పని చేస్తున్న" టోకెన్ అని మీరు అనుకోవచ్చు, దీనితో మీరు వినియోగదారు తరపున అతని వ్యక్తిగత డేటాను పొందడంతోపాటు వివిధ చర్యలను చేయవచ్చు. కానీ నేను దీన్ని ఖచ్చితంగా చెప్పలేను.
ప్రస్తుతం క్లిక్హౌస్ సర్వర్ అదే IP చిరునామాలో ఉచితంగా యాక్సెస్ చేయబడుతుందని సమాచారం లేదు.
మూలం: www.habr.com