میں دنیا کے تقریبا تمام ممالک میں آزادانہ طور پر قابل رسائی ڈیٹا بیس کی دریافت کے بارے میں بہت کچھ لکھتا ہوں، لیکن عوامی ڈومین میں روسی ڈیٹا بیس کے بارے میں تقریبا کوئی خبر نہیں ہے۔ حال ہی میں اگرچہ "کریملن کے ہاتھ" کے بارے میں، جسے ایک ڈچ محقق 2000 سے زیادہ کھلے ڈیٹا بیس میں دریافت کرنے سے خوفزدہ تھا۔
ایک غلط فہمی ہو سکتی ہے کہ روس میں سب کچھ بہت اچھا ہے اور بڑے روسی آن لائن پروجیکٹس کے مالکان صارف کے ڈیٹا کو محفوظ کرنے کے لیے ذمہ دارانہ انداز اپناتے ہیں۔ میں نے اس مثال کو استعمال کرتے ہوئے اس افسانہ کو ختم کرنے میں جلدی کی۔
روسی آن لائن میڈیکل سروس DOC+ بظاہر عوامی طور پر دستیاب رسائی لاگز کے ساتھ ClickHouse ڈیٹا بیس کو چھوڑنے میں کامیاب ہوگئی۔ بدقسمتی سے، لاگز اتنے تفصیلی نظر آتے ہیں کہ سروس کے ملازمین، شراکت داروں اور کلائنٹس کا ذاتی ڈیٹا ممکنہ طور پر لیک ہو سکتا ہے۔
ضروری کام پہلے...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
میرے ساتھ، ٹیلیگرام چینل کے مالک کی حیثیت سے""، ایک چینل ریڈر جو گمنام رہنا چاہتا تھا، رابطہ کیا اور لفظی طور پر درج ذیل اطلاع دی:
انٹرنیٹ پر ایک کھلا ClickHouse سرور دریافت ہوا، جس کا تعلق کمپنی doc+ سے ہے۔ سرور کا IP پتہ اس IP پتے سے میل کھاتا ہے جس پر docplus.ru ڈومین کنفیگر کیا گیا ہے۔
وکیپیڈیا سے: DOC+ (نیو میڈیسن ایل ایل سی) ایک روسی طبی کمپنی ہے جو ٹیلی میڈیسن کے شعبے میں خدمات فراہم کرتی ہے، گھر پر ڈاکٹر کو بلاتی ہے، اسٹوریج اور پروسیسنگ کرتی ہے۔ ذاتی طبی ڈیٹا. کمپنی نے Yandex سے سرمایہ کاری حاصل کی۔
جمع کی گئی معلومات کو دیکھتے ہوئے، ClickHouse ڈیٹا بیس واقعی آزادانہ طور پر قابل رسائی تھا، اور کوئی بھی، جو IP ایڈریس کو جانتا تھا، اس سے ڈیٹا حاصل کر سکتا تھا۔ یہ ڈیٹا ممکنہ طور پر سروس تک رسائی کے لاگز کا نکلا۔
جیسا کہ آپ اوپر کی تصویر سے دیکھ سکتے ہیں، www.docplus.ru ویب سرور اور کلک ہاؤس سرور (پورٹ 9000) کے علاوہ، MongoDB ڈیٹا بیس ایک ہی IP ایڈریس پر کھلا ہوا ہے (جس میں، بظاہر، کچھ بھی نہیں ہے۔ دلچسپ)۔
جہاں تک میں جانتا ہوں، Shodan.io سرچ انجن کا استعمال ClickHouse سرور کو دریافت کرنے کے لیے کیا گیا تھا۔ میں نے ایک خاص اسکرپٹ کے ساتھ مل کر الگ سے لکھا ہے۔ ، جس نے توثیق کی کمی کی وجہ سے پائے گئے ڈیٹا بیس کو چیک کیا اور اس کی تمام میزیں درج کیں۔ اس وقت ان میں سے 474 لگتے تھے۔
دستاویزات سے ہم جانتے ہیں کہ بطور ڈیفالٹ، ClickHouse سرور پورٹ 8123 پر HTTP کو سنتا ہے۔ لہذا، یہ دیکھنے کے لیے کہ ٹیبلز میں کیا ہے، اس SQL استفسار کی طرح کچھ چلانا کافی ہے:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]درخواست پر عمل درآمد کے نتیجے میں، جو ممکنہ طور پر واپس کیا جا سکتا ہے وہ ذیل میں اسکرین شاٹ میں اشارہ کیا گیا ہے:
اسکرین شاٹ سے یہ واضح ہے کہ فیلڈ میں موجود معلومات ہیڈرز صارف کے مقام (عرض البلد اور عرض البلد)، اس کا IP پتہ، اس ڈیوائس کے بارے میں معلومات جس سے اس نے سروس سے منسلک کیا، OS ورژن وغیرہ کے بارے میں ڈیٹا پر مشتمل ہے۔
اگر کسی کو ایس کیو ایل کے استفسار میں قدرے ترمیم کرنا ہو، مثال کے طور پر، اس طرح:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
پھر ملازمین کے ذاتی ڈیٹا سے ملتا جلتا کچھ واپس کیا جا سکتا ہے، یعنی: پورا نام، تاریخ پیدائش، جنس، ٹیکس شناختی نمبر، رجسٹریشن اور اصل رہائش کے پتے، ٹیلی فون نمبر، پوزیشن، ای میل ایڈریس اور بہت کچھ:
مذکورہ اسکرین شاٹ سے یہ تمام معلومات 1C: Enterprise 8.3 کے HR ڈیٹا سے بہت ملتی جلتی ہیں۔
پیرامیٹر کو قریب سے دیکھیں API_USER_TOKEN آپ کو لگتا ہے کہ یہ ایک "کام کرنے والا" ٹوکن ہے جس کی مدد سے آپ صارف کی جانب سے مختلف اعمال انجام دے سکتے ہیں، بشمول اس کا ذاتی ڈیٹا حاصل کرنا۔ لیکن یقیناً میں یہ نہیں کہہ سکتا۔
اس وقت کوئی اطلاع نہیں ہے کہ ClickHouse سرور اب بھی اسی IP ایڈریس پر آزادانہ طور پر قابل رسائی ہے۔
ماخذ: www.habr.com