Marami akong isinulat tungkol sa pagtuklas ng mga malayang naa-access na database sa halos lahat ng mga bansa sa mundo, ngunit halos walang balita tungkol sa mga database ng Russia na natitira sa pampublikong domain. Bagama't kamakailan lamang tungkol sa "kamay ng Kremlin," na ikinatakot ng isang Dutch researcher na matuklasan sa mahigit 2000 bukas na database.
Maaaring may maling kuru-kuro na ang lahat ay mahusay sa Russia at ang mga may-ari ng malalaking online na proyekto ng Russia ay may responsableng diskarte sa pag-iimbak ng data ng user. Nagmamadali akong i-debunk ang alamat na ito gamit ang halimbawang ito.
Ang Russian online na serbisyong medikal na DOC+ ay tila nagawang umalis sa ClickHouse database na may mga access log na available sa publiko. Sa kasamaang palad, mukhang napakadetalye ng mga log na posibleng ma-leak ang personal na data ng mga empleyado, kasosyo at kliyente ng serbisyo.
Una muna...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Kasama ko, bilang may-ari ng Telegram channel "", isang channel reader na gustong manatiling anonymous ang nakipag-ugnayan at literal na nag-ulat ng sumusunod:
Isang bukas na ClickHouse server ang natuklasan sa Internet, na pag-aari ng kumpanyang doc+. Ang IP address ng server ay tumutugma sa IP address kung saan naka-configure ang domain ng docplus.ru.
Mula sa Wikipedia: Ang DOC+ (New Medicine LLC) ay isang kumpanyang medikal ng Russia na nagbibigay ng mga serbisyo sa larangan ng telemedicine, pagtawag sa isang doktor sa bahay, pag-iimbak at pagproseso. personal na medikal na data. Nakatanggap ang kumpanya ng mga pamumuhunan mula sa Yandex.
Sa paghusga sa impormasyong nakolekta, ang database ng ClickHouse ay talagang malayang naa-access, at sinuman, na nakakaalam ng IP address, ay maaaring makakuha ng data mula dito. Ang data na ito ay malamang na naging mga log ng access sa serbisyo.
Tulad ng nakikita mo mula sa larawan sa itaas, bilang karagdagan sa www.docplus.ru web server at ang ClickHouse server (port 9000), ang database ng MongoDB ay nakabukas nang malawak sa parehong IP address (kung saan, tila, walang anuman. kawili-wili).
Sa pagkakaalam ko, ginamit ang Shodan.io search engine upang matuklasan ang ClickHouse server (tungkol sa Isinulat ko nang hiwalay) kasabay ng isang espesyal na script , na nagsuri sa nahanap na database para sa kakulangan ng pagpapatunay at nakalista ang lahat ng mga talahanayan nito. Noong panahong iyon, tila 474 sila.
Mula sa dokumentasyon alam namin na bilang default, ang ClickHouse server ay nakikinig sa HTTP sa port 8123. Samakatuwid, upang makita kung ano ang nilalaman sa mga talahanayan, ito ay sapat na upang patakbuhin ang isang bagay tulad ng SQL query na ito:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]Bilang resulta ng pagsasagawa ng kahilingan, ang maaaring ibalik ay ang ipinahiwatig sa screenshot sa ibaba:
Mula sa screenshot ay malinaw na ang impormasyon sa field MGA HEADER naglalaman ng data tungkol sa lokasyon (latitude at longitude) ng user, kanyang IP address, impormasyon tungkol sa device kung saan siya nakakonekta sa serbisyo, bersyon ng OS, atbp.
Kung nangyari sa isang tao na bahagyang baguhin ang SQL query, halimbawa, tulad nito:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
pagkatapos ay maaaring ibalik ang isang bagay na katulad ng personal na data ng mga empleyado, katulad ng: buong pangalan, petsa ng kapanganakan, kasarian, numero ng pagkakakilanlan ng buwis, pagpaparehistro at aktwal na mga address ng lugar ng paninirahan, mga numero ng telepono, mga posisyon, mga email address at marami pa:
Ang lahat ng impormasyong ito mula sa screenshot sa itaas ay halos kapareho sa data ng HR mula sa 1C: Enterprise 8.3.
Pagkuha ng mas malapit na pagtingin sa parameter API_USER_TOKEN maaari mong isipin na ito ay isang "gumagana" na token kung saan maaari kang magsagawa ng iba't ibang mga aksyon sa ngalan ng user, kabilang ang pagkuha ng kanyang personal na data. Pero syempre hindi ko masasabi ito.
Sa ngayon ay walang impormasyon na ang ClickHouse server ay malayang naa-access sa parehong IP address.
Pinagmulan: www.habr.com