ฉันเขียนมากเกี่ยวกับการค้นพบฐานข้อมูลที่เข้าถึงได้ฟรีในเกือบทุกประเทศทั่วโลก แต่แทบไม่มีข่าวเกี่ยวกับฐานข้อมูลรัสเซียเหลืออยู่ในสาธารณสมบัติ แม้ว่าเมื่อเร็วๆ นี้ เกี่ยวกับ “มือของเครมลิน” ซึ่งนักวิจัยชาวดัตช์รู้สึกหวาดกลัวเมื่อค้นพบในฐานข้อมูลเปิดมากกว่า 2000 แห่ง
อาจมีความเข้าใจผิดว่าทุกอย่างดีในรัสเซียและเจ้าของโครงการออนไลน์ขนาดใหญ่ของรัสเซียก็ใช้แนวทางที่รับผิดชอบในการจัดเก็บข้อมูลผู้ใช้ ฉันรีบเร่งที่จะหักล้างตำนานนี้โดยใช้ตัวอย่างนี้
เห็นได้ชัดว่าบริการทางการแพทย์ออนไลน์ของรัสเซีย DOC+ สามารถออกจากฐานข้อมูล ClickHouse โดยมีบันทึกการเข้าถึงที่เปิดเผยต่อสาธารณะ น่าเสียดายที่บันทึกดังกล่าวมีรายละเอียดมากจนข้อมูลส่วนบุคคลของพนักงาน คู่ค้า และลูกค้าของบริการอาจรั่วไหลได้
สิ่งแรกก่อน...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
กับฉันในฐานะเจ้าของช่องโทรเลข”" ผู้อ่านช่องที่ไม่ประสงค์ออกนามได้ติดต่อและรายงานตามตัวอักษรดังต่อไปนี้:
พบเซิร์ฟเวอร์ ClickHouse แบบเปิดบนอินเทอร์เน็ต ซึ่งเป็นของบริษัท doc+ ที่อยู่ IP ของเซิร์ฟเวอร์ตรงกับที่อยู่ IP ที่กำหนดค่าโดเมน docplus.ru
จาก Wikipedia: DOC+ (New Medicine LLC) เป็นบริษัททางการแพทย์ของรัสเซียที่ให้บริการด้านการแพทย์ทางไกล โทรหาแพทย์ที่บ้าน การจัดเก็บและดำเนินการ ข้อมูลทางการแพทย์ส่วนบุคคล. บริษัทได้รับเงินลงทุนจาก Yandex.
เมื่อพิจารณาจากข้อมูลที่รวบรวมแล้ว ฐานข้อมูล ClickHouse สามารถเข้าถึงได้โดยอิสระ และใครก็ตามที่รู้ที่อยู่ IP ก็สามารถรับข้อมูลจากฐานข้อมูลนั้นได้ ข้อมูลนี้น่าจะเป็นบันทึกการเข้าถึงบริการ
ดังที่คุณเห็นจากภาพด้านบน นอกเหนือจากเว็บเซิร์ฟเวอร์ www.docplus.ru และเซิร์ฟเวอร์ ClickHouse (พอร์ต 9000) แล้ว ฐานข้อมูล MongoDB ยังเปิดค้างอยู่ในที่อยู่ IP เดียวกัน (ซึ่งเห็นได้ชัดว่าไม่มีอะไรเลย น่าสนใจ).
เท่าที่ฉันรู้ เครื่องมือค้นหา Shodan.io ถูกใช้เพื่อค้นหาเซิร์ฟเวอร์ ClickHouse (ประมาณ ฉันเขียนแยกกัน) ร่วมกับสคริปต์พิเศษ ซึ่งตรวจสอบฐานข้อมูลที่พบว่าขาดการรับรองความถูกต้องและแสดงรายการตารางทั้งหมด ขณะนั้นปรากฏว่ามีทั้งหมด 474 ตน
จากเอกสารประกอบ เรารู้ว่าตามค่าเริ่มต้น เซิร์ฟเวอร์ ClickHouse จะรับฟัง HTTP บนพอร์ต 8123 ดังนั้น หากต้องการดูว่ามีอะไรอยู่ในตาราง ก็เพียงพอที่จะเรียกใช้คำสั่ง SQL ดังนี้:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]จากการดำเนินการตามคำขอ สิ่งที่อาจส่งคืนได้คือสิ่งที่ระบุไว้ในภาพหน้าจอด้านล่าง:
จากภาพหน้าจอจะเห็นชัดเจนว่าข้อมูลในสนาม ส่วนหัว มีข้อมูลเกี่ยวกับตำแหน่ง (ละติจูดและลองจิจูด) ของผู้ใช้ ที่อยู่ IP ข้อมูลเกี่ยวกับอุปกรณ์ที่เขาเชื่อมต่อกับบริการ เวอร์ชันของระบบปฏิบัติการ ฯลฯ
หากมีคนแก้ไขแบบสอบถาม SQL เล็กน้อย เช่น:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
จากนั้นสิ่งที่คล้ายกับข้อมูลส่วนบุคคลของพนักงานอาจถูกส่งคืน ได้แก่ ชื่อนามสกุล วันเกิด เพศ หมายเลขประจำตัวผู้เสียภาษี ที่อยู่จดทะเบียนและที่อยู่อาศัยจริง หมายเลขโทรศัพท์ ตำแหน่ง ที่อยู่อีเมล และอื่นๆ อีกมากมาย:
ข้อมูลทั้งหมดนี้จากภาพหน้าจอด้านบนคล้ายกับข้อมูล HR จาก 1C: Enterprise 8.3 มาก
พิจารณาพารามิเตอร์ให้ละเอียดยิ่งขึ้น API_USER_TOKEN คุณอาจคิดว่านี่คือโทเค็น "ที่ใช้งานได้" ซึ่งคุณสามารถดำเนินการต่างๆ ในนามของผู้ใช้ได้ รวมถึงการได้รับข้อมูลส่วนบุคคลของเขาด้วย แต่แน่นอนว่าฉันไม่สามารถพูดสิ่งนี้ได้
ในขณะนี้ยังไม่มีข้อมูลว่าเซิร์ฟเวอร์ ClickHouse ยังคงเข้าถึงได้อย่างอิสระด้วยที่อยู่ IP เดียวกัน
ที่มา: will.com