我写了很多关于在世界上几乎所有国家发现可免费访问的数据库的文章,但几乎没有关于公共领域的俄罗斯数据库的新闻。 虽然最近 一位荷兰研究人员在 2000 多个开放数据库中发现了“克里姆林宫之手”,这让他感到害怕。
可能存在一种误解,认为俄罗斯一切都很好,俄罗斯大型在线项目的所有者采取负责任的方式来存储用户数据。 我赶紧用这个例子来揭穿这个神话。
俄罗斯在线医疗服务 DOC+ 显然成功地将 ClickHouse 数据库的访问日志公开。 不幸的是,日志看起来非常详细,以至于该服务的员工、合作伙伴和客户的个人数据可能已经泄露。

一切为了...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
和我一起,作为 Telegram 频道的所有者””,一位希望保持匿名的频道读者联系了我们,并报告了以下内容:
在网上发现了一个开放的ClickHouse服务器,属于doc+公司。 服务器 IP 地址与配置 docplus.ru 域的 IP 地址匹配。
维基百科: DOC+(New Medicine LLC)是一家俄罗斯医疗公司,提供远程医疗领域的服务,在家中呼叫医生、存储和处理 个人医疗数据。 该公司获得了 Yandex 的投资。
从收集到的信息来看,ClickHouse数据库确实是可以自由访问的,任何人只要知道IP地址,就可以从中获取数据。 这些数据可能是服务访问日志。

从上图中可以看到,除了 www.docplus.ru Web 服务器和 ClickHouse 服务器(端口 9000)之外,MongoDB 数据库在同一 IP 地址上完全开放(显然,其中没有任何内容)有趣的)。
据我所知,Shodan.io 搜索引擎用于发现 ClickHouse 服务器(大约 我单独写的)结合一个特殊的脚本 ,它检查找到的数据库是否缺少身份验证并列出其所有表。 当时好像有474人。

从文档中我们知道,默认情况下,ClickHouse 服务器在端口 8123 上侦听 HTTP。 因此,要查看表中包含的内容,运行如下 SQL 查询就足够了:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]执行请求的结果,可能返回的结果如下图所示:

从截图中可以明显看出该字段的信息 标题 包含有关用户位置(纬度和经度)、IP 地址、连接到服务的设备的信息、操作系统版本等的数据。
如果有人稍微修改了 SQL 查询,例如,如下所示:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
然后可以返回类似于员工个人数据的信息,即:全名、出生日期、性别、纳税识别号、注册和实际居住地址、电话号码、职位、电子邮件地址等等:

上面屏幕截图中的所有这些信息与 1C: Enterprise 8.3 中的 HR 数据非常相似。
仔细看看参数 API_USER_TOKEN 您可能认为这是一个“工作”令牌,您可以用它代表用户执行各种操作,包括获取他的个人数据。 但我当然不能这么说。
目前没有任何信息表明 ClickHouse 服务器仍然可以通过相同的 IP 地址自由访问。
来源: habr.com
