Tôi viết rất nhiều về việc phát hiện ra các cơ sở dữ liệu có thể truy cập miễn phí ở hầu hết các quốc gia trên thế giới, nhưng hầu như không có tin tức nào về cơ sở dữ liệu của Nga còn sót lại trong phạm vi công cộng. Mặc dù gần đây về “bàn tay của Điện Kremlin”, điều mà một nhà nghiên cứu người Hà Lan kinh hãi phát hiện ra trong hơn 2000 cơ sở dữ liệu mở.
Có thể có quan niệm sai lầm rằng mọi thứ đều tuyệt vời ở Nga và chủ sở hữu các dự án trực tuyến lớn của Nga có cách tiếp cận có trách nhiệm trong việc lưu trữ dữ liệu người dùng. Tôi vội vàng làm sáng tỏ huyền thoại này bằng ví dụ này.
Dịch vụ y tế trực tuyến DOC+ của Nga dường như đã cố gắng để lại cơ sở dữ liệu ClickHouse với nhật ký truy cập được cung cấp công khai. Thật không may, nhật ký trông chi tiết đến mức dữ liệu cá nhân của nhân viên, đối tác và khách hàng của dịch vụ có thể bị rò rỉ.
Mọi thứ theo thứ tự ...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
Với tôi, với tư cách là chủ sở hữu kênh Telegram "", một độc giả kênh muốn giấu tên đã liên lạc và báo cáo theo đúng nghĩa đen như sau:
Một máy chủ ClickHouse đang mở đã được phát hiện trên Internet, thuộc về công ty doc+. Địa chỉ IP của máy chủ khớp với địa chỉ IP mà miền docplus.ru được định cấu hình.
Từ Wikipedia: DOC+ (New Medicine LLC) là công ty y tế của Nga cung cấp các dịch vụ trong lĩnh vực y tế từ xa, gọi bác sĩ tại nhà, lưu trữ và xử lý dữ liệu y tế cá nhân. Công ty đã nhận được khoản đầu tư từ Yandex.
Đánh giá dựa trên thông tin được thu thập, cơ sở dữ liệu ClickHouse thực sự có thể truy cập miễn phí và bất kỳ ai biết địa chỉ IP đều có thể lấy dữ liệu từ đó. Dữ liệu này có lẽ hóa ra là nhật ký truy cập dịch vụ.
Như bạn có thể thấy trong hình trên, ngoài máy chủ web www.docplus.ru và máy chủ ClickHouse (cổng 9000), cơ sở dữ liệu MongoDB đang mở rộng trên cùng một địa chỉ IP (trong đó, rõ ràng là không có gì hấp dẫn).
Theo như tôi biết thì công cụ tìm kiếm Shodan.io đã được sử dụng để khám phá máy chủ ClickHouse (khoảng Tôi đã viết riêng) kết hợp với một kịch bản đặc biệt , đã kiểm tra cơ sở dữ liệu được tìm thấy để tìm thiếu xác thực và liệt kê tất cả các bảng của nó. Vào thời điểm đó dường như có 474 người trong số họ.
Từ tài liệu, chúng tôi biết rằng theo mặc định, máy chủ ClickHouse lắng nghe HTTP trên cổng 8123. Do đó, để xem những gì có trong các bảng, chỉ cần chạy một cái gì đó giống như truy vấn SQL này là đủ:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]Do việc thực hiện yêu cầu, những gì có thể được trả về là những gì được chỉ ra trong ảnh chụp màn hình bên dưới:
Từ ảnh chụp màn hình, rõ ràng thông tin trong trường TRƯỞNG THÀNH chứa dữ liệu về vị trí (vĩ độ và kinh độ) của người dùng, địa chỉ IP của người dùng, thông tin về thiết bị mà người đó đã kết nối với dịch vụ, phiên bản hệ điều hành, v.v.
Ví dụ: nếu ai đó sửa đổi một chút truy vấn SQL, chẳng hạn như sau:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
sau đó một cái gì đó tương tự như dữ liệu cá nhân của nhân viên có thể được trả về, cụ thể là: tên đầy đủ, ngày sinh, giới tính, mã số thuế, địa chỉ đăng ký và nơi cư trú thực tế, số điện thoại, chức vụ, địa chỉ email, v.v.
Tất cả thông tin từ ảnh chụp màn hình ở trên rất giống với dữ liệu nhân sự từ 1C: Enterprise 8.3.
Xem xét kỹ hơn về tham số API_USER_TOKEN bạn có thể nghĩ rằng đây là một mã thông báo “đang hoạt động” mà bạn có thể thực hiện nhiều hành động khác nhau thay mặt người dùng, bao gồm cả việc lấy dữ liệu cá nhân của họ. Nhưng tất nhiên tôi không thể nói điều này.
Hiện tại không có thông tin nào cho thấy máy chủ ClickHouse vẫn có thể truy cập miễn phí tại cùng một địa chỉ IP.
Nguồn: www.habr.com