Dünyanın hemen hemen tüm ülkelerinde ücretsiz olarak erişilebilen veritabanlarının keşfi hakkında çok şey yazıyorum, ancak kamuya açık Rus veritabanları hakkında neredeyse hiçbir haber yok. Son zamanlarda olmasına rağmen Hollandalı bir araştırmacının 2000'den fazla açık veritabanında keşfetmeye korktuğu "Kremlin'in eli" hakkında.
Rusya'da her şeyin yolunda olduğu ve büyük Rus çevrimiçi projelerinin sahiplerinin kullanıcı verilerinin saklanması konusunda sorumlu bir yaklaşım benimsediği konusunda bir yanılgı olabilir. Bu örneği kullanarak bu efsaneyi çürütmek için acele ediyorum.
Görünüşe göre Rus çevrimiçi tıbbi hizmeti DOC+, ClickHouse veritabanını erişim günlükleriyle birlikte kamuya açık halde bırakmayı başardı. Maalesef günlükler o kadar ayrıntılı görünüyor ki çalışanların, ortakların ve hizmetin müşterilerinin kişisel verileri sızdırılmış olabilir.
Her şey yolunda ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Telegram kanalının sahibi olarak benimle "", isminin gizli kalmasını isteyen bir kanal okuyucusu iletişime geçti ve kelimenin tam anlamıyla şunları bildirdi:
İnternette doc+ şirketine ait açık bir ClickHouse sunucusu keşfedildi. Sunucu IP adresi, docplus.ru etki alanının yapılandırıldığı IP adresiyle eşleşir.
Vikipedi: DOC+ (New Medicine LLC), teletıp alanında hizmet veren, evde doktor çağırma, depolama ve işleme hizmetleri sunan bir Rus tıbbi şirketidir. kişisel tıbbi veriler. Şirket, Yandex'den yatırım aldı.
Toplanan bilgilere bakılırsa, ClickHouse veri tabanına gerçekten de serbestçe erişilebiliyordu ve IP adresini bilen herkes bu veri tabanından veri alabiliyordu. Bu verilerin muhtemelen hizmet erişim günlükleri olduğu ortaya çıktı.
Yukarıdaki resimde görebileceğiniz gibi, www.docplus.ru web sunucusuna ve ClickHouse sunucusuna (bağlantı noktası 9000) ek olarak, MongoDB veritabanı aynı IP adresinde tamamen açıktır (görünüşe göre hiçbir şey yoktur) ilginç).
Bildiğim kadarıyla ClickHouse sunucusunu keşfetmek için Shodan.io arama motoru kullanıldı (yaklaşık Ayrı olarak yazdım) özel bir senaryo ile birlikte Bulunan veritabanını kimlik doğrulama eksikliği açısından kontrol eden ve tüm tablolarını listeleyen. O zaman bunlardan 474 tane varmış gibi görünüyordu.
Belgelerden, ClickHouse sunucusunun varsayılan olarak 8123 numaralı bağlantı noktasındaki HTTP'yi dinlediğini biliyoruz. Bu nedenle tablolarda nelerin bulunduğunu görmek için şu SQL sorgusunu çalıştırmak yeterlidir:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]İsteğin yerine getirilmesinin bir sonucu olarak, muhtemelen aşağıdaki ekran görüntüsünde gösterilen şey döndürülebilir:
Ekran görüntüsünden, alandaki bilgilerin BAŞLIKLAR kullanıcının konumu (enlem ve boylam), IP adresi, hizmete bağlandığı cihazla ilgili bilgiler, işletim sistemi sürümü vb. hakkında veriler içerir.
Birisinin aklına SQL sorgusunu biraz değiştirmek geldiyse, örneğin:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
o zaman çalışanların kişisel verilerine benzer bir şey iade edilebilir: tam ad, doğum tarihi, cinsiyet, vergi kimlik numarası, kayıt ve fiili ikamet yeri adresleri, telefon numaraları, pozisyonlar, e-posta adresleri ve çok daha fazlası:
Yukarıdaki ekran görüntüsündeki tüm bu bilgiler 1C: Enterprise 8.3'teki İK verilerine çok benzer.
Parametreye daha yakından bakmak API_USER_TOKEN bunun, kullanıcının kişisel verilerini almak da dahil olmak üzere, kullanıcı adına çeşitli eylemler gerçekleştirebileceğiniz "çalışan" bir jeton olduğunu düşünebilirsiniz. Ama bunu elbette söyleyemem.
Şu anda ClickHouse sunucusuna aynı IP adresinden serbestçe erişilebildiğine dair bir bilgi yok.
Kaynak: habr.com