我寫了很多關於在世界上幾乎所有國家發現可免費存取的資料庫的文章,但幾乎沒有關於公共領域的俄羅斯資料庫的新聞。 雖然最近 一位荷蘭研究人員在 2000 多個開放資料庫中發現了“克里姆林宮之手”,這讓他感到害怕。
可能存在一種誤解,認為俄羅斯一切都很好,俄羅斯大型線上專案的所有者採取負責任的方式來儲存用戶資料。 我趕緊用這個例子來揭穿這個神話。
俄羅斯線上醫療服務 DOC+ 顯然成功地將 ClickHouse 資料庫的存取日誌公開。 不幸的是,日誌看起來非常詳細,以至於該服務的員工、合作夥伴和客戶的個人資料可能已經洩露。
首先要做的事情...
Дисклеймер: вся информация ниже публикуется исключительно в образовательных целях. Автор не получал доступа к персональным данным третьих лиц и компаний. Скриншоты взяты либо из открытых источников, либо были предоставлены автору анонимными доброжелателями.
和我一起,作為 Telegram 頻道的所有者””,一位希望保持匿名的頻道讀者聯繫了我們,並報告了以下內容:
在網路上發現了一個開放的ClickHouse伺服器,屬於doc+公司。 伺服器 IP 位址與設定 docplus.ru 網域的 IP 位址相符。
維基百科: DOC+(New Medicine LLC)是一家俄羅斯醫療公司,提供遠距醫療領域的服務,在家中呼叫醫生、儲存和處理 個人醫療數據。 該公司獲得了 Yandex 的投資。
從收集到的資訊來看,ClickHouse資料庫確實是可以自由存取的,任何人只要知道IP位址,就可以從中取得資料。 這些資料可能是服務存取日誌。
從上圖可以看到,除了 www.docplus.ru Web 伺服器和 ClickHouse 伺服器(連接埠 9000)之外,MongoDB 資料庫在同一 IP 位址上完全開放(顯然,其中沒有任何內容)有趣的)。
據我所知,Shodan.io 搜尋引擎用於發現 ClickHouse 伺服器(大約 我單獨寫的)結合一個特殊的腳本 ,它檢查找到的資料庫是否缺少身份驗證並列出其所有表。 當時好像有474人。
從文件中我們知道,預設情況下,ClickHouse 伺服器在連接埠 8123 上偵聽 HTTP。 因此,要查看表中包含的內容,執行以下 SQL 查詢就足夠了:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы]執行請求的結果,可能回傳的結果如下圖所示:
從截圖中可以明顯看出該欄位的訊息 標題 包含使用者位置(緯度和經度)、IP 位址、連接到服務的裝置的資訊、作業系統版本等的資料。
如果有人稍微修改了 SQL 查詢,例如,如下所示:
http://[IP-адрес]:8123?query=SELECT * FROM [название таблицы] WHERE REQUEST LIKE ‘%25Profiles%25’
然後可以返回類似於員工個人資料的訊息,即:全名、出生日期、性別、納稅識別號碼、註冊和實際居住地址、電話號碼、職位、電子郵件地址等等:
上面螢幕截圖中的所有這些資訊與 1C: Enterprise 8.3 中的 HR 資料非常相似。
仔細看看參數 API_USER_TOKEN 您可能認為這是一個「工作」令牌,您可以用它來代表使用者執行各種操作,包括獲取他的個人資料。 但我當然不能這麼說。
目前沒有任何資訊表明 ClickHouse 伺服器仍然可以透過相同的 IP 位址自由存取。
來源: www.habr.com