Men dunyoning deyarli barcha mamlakatlarida erkin foydalanish mumkin bo'lgan ma'lumotlar bazalarining kashfiyoti haqida ko'p yozaman, lekin jamoat mulkida Rossiya ma'lumotlar bazalari haqida deyarli hech qanday yangilik qolmadi. Garchi yaqinda Gollandiyalik tadqiqotchi 2000 dan ortiq ochiq ma'lumotlar bazalarida kashf qilishdan qo'rqib ketgan "Kremlning qo'li" haqida.
Rossiyada hamma narsa ajoyib va ββyirik rus onlayn-loyihalarining egalari foydalanuvchi ma'lumotlarini saqlashga mas'uliyat bilan yondashadi degan noto'g'ri fikr bo'lishi mumkin. Men ushbu misol yordamida bu afsonani rad etishga shoshildim.
Rossiyaning DOC+ onlayn tibbiy xizmati ClickHouse ma'lumotlar bazasini ochiq kirish jurnallari bilan tark etishga muvaffaq bo'ldi. Afsuski, jurnallar shunchalik batafsil ko'rinadiki, xizmat xodimlari, hamkorlari va mijozlarining shaxsiy ma'lumotlari sizib ketishi mumkin edi.
Birinchi narsa birinchi ...
ΠΠΈΡΠΊΠ»Π΅ΠΉΠΌΠ΅Ρ: Π²ΡΡ ΠΈΠ½ΡΠΎΡΠΌΠ°ΡΠΈΡ Π½ΠΈΠΆΠ΅ ΠΏΡΠ±Π»ΠΈΠΊΡΠ΅ΡΡΡ ΠΈΡΠΊΠ»ΡΡΠΈΡΠ΅Π»ΡΠ½ΠΎ Π² ΠΎΠ±ΡΠ°Π·ΠΎΠ²Π°ΡΠ΅Π»ΡΠ½ΡΡ
ΡΠ΅Π»ΡΡ
. ΠΠ²ΡΠΎΡ Π½Π΅ ΠΏΠΎΠ»ΡΡΠ°Π» Π΄ΠΎΡΡΡΠΏΠ° ΠΊ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»ΡΠ½ΡΠΌ Π΄Π°Π½Π½ΡΠΌ ΡΡΠ΅ΡΡΠΈΡ
Π»ΠΈΡ ΠΈ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ. Π‘ΠΊΡΠΈΠ½ΡΠΎΡΡ Π²Π·ΡΡΡ Π»ΠΈΠ±ΠΎ ΠΈΠ· ΠΎΡΠΊΡΡΡΡΡ
ΠΈΡΡΠΎΡΠ½ΠΈΠΊΠΎΠ², Π»ΠΈΠ±ΠΎ Π±ΡΠ»ΠΈ ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²Π»Π΅Π½Ρ Π°Π²ΡΠΎΡΡ Π°Π½ΠΎΠ½ΠΈΠΌΠ½ΡΠΌΠΈ Π΄ΠΎΠ±ΡΠΎΠΆΠ΅Π»Π°ΡΠ΅Π»ΡΠΌΠΈ.
Telegram kanali egasi sifatida men bilan "", anonim qolishni istagan kanal o'quvchisi bog'lanib, so'zma-so'z ma'noda quyidagilarni ma'lum qildi:
Internetda doc+ kompaniyasiga tegishli ochiq ClickHouse serveri topildi. Server IP manzili docplus.ru domeni sozlangan IP manziliga mos keladi.
Vikipediyadan: DOC+ (New Medicine MChJ) - telemeditsina, uyda shifokorni chaqirish, saqlash va qayta ishlash sohasida xizmatlar ko'rsatadigan Rossiya tibbiyot kompaniyasi. shaxsiy tibbiy ma'lumotlar. Kompaniya Yandexdan sarmoya oldi.
To'plangan ma'lumotlarga ko'ra, ClickHouse ma'lumotlar bazasi haqiqatan ham erkin foydalanish mumkin edi va har kim IP-manzilni bilsa, undan ma'lumotlarni olishi mumkin edi. Bu ma'lumotlar, ehtimol, xizmatga kirish jurnallari bo'lib chiqdi.
Yuqoridagi rasmdan ko'rinib turibdiki, www.docplus.ru veb-serveriga va ClickHouse serveriga (port 9000) qo'shimcha ravishda MongoDB ma'lumotlar bazasi bir xil IP-manzilda (bu erda hech narsa yo'q) ochiq holda osilgan. qiziqarli).
Bilishimcha, Shodan.io qidiruv tizimi ClickHouse serverini topish uchun ishlatilgan (taxminan Men alohida yozdim) maxsus skript bilan birgalikda , topilgan ma'lumotlar bazasini autentifikatsiya yo'qligi uchun tekshirdi va uning barcha jadvallarini sanab o'tdi. O'sha paytda ularning 474 tasi bor edi.
Hujjatlardan bilamizki, sukut bo'yicha ClickHouse serveri 8123 portida HTTP ni tinglaydi. Shuning uchun, jadvallarda nima borligini ko'rish uchun ushbu SQL so'roviga o'xshash narsani bajarish kifoya:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ]So'rovni bajarish natijasida, qaytarilishi mumkin bo'lgan narsa quyidagi skrinshotda ko'rsatilgan:
Skrinshotdan ko'rinib turibdiki, maydondagi ma'lumotlar Sarlavhalar foydalanuvchining joylashuvi (kenglik va uzunlik), uning IP-manzili, u xizmatga ulangan qurilma haqidagi ma'lumotlar, OS versiyasi va boshqalar haqidagi ma'lumotlarni o'z ichiga oladi.
Agar kimdir SQL so'rovini biroz o'zgartirishni orzu qilgan bo'lsa, masalan:
http://[IP-Π°Π΄ΡΠ΅Ρ]:8123?query=SELECT * FROM [Π½Π°Π·Π²Π°Π½ΠΈΠ΅ ΡΠ°Π±Π»ΠΈΡΡ] WHERE REQUEST LIKE β%25Profiles%25β
keyin xodimlarning shaxsiy ma'lumotlariga o'xshash narsa qaytarilishi mumkin, xususan: to'liq ism, tug'ilgan sana, jins, soliq identifikatsiya raqami, ro'yxatdan o'tish va haqiqiy yashash joyi manzillari, telefon raqamlari, lavozimlari, elektron pochta manzillari va boshqalar:
Yuqoridagi skrinshotdagi ushbu ma'lumotlarning barchasi 1C: Enterprise 8.3 dan HR ma'lumotlariga juda o'xshash.
Parametrni batafsil ko'rib chiqish API_USER_TOKEN Siz bu "ishchi" token deb o'ylashingiz mumkin, uning yordamida siz foydalanuvchi nomidan turli xil harakatlarni amalga oshirishingiz mumkin, shu jumladan uning shaxsiy ma'lumotlarini olishingiz mumkin. Lekin, albatta, buni ayta olmayman.
Ayni paytda ClickHouse serveriga bir xil IP-manzilda erkin kirish mumkinligi haqida hech qanday ma'lumot yo'q.
Manba: www.habr.com