我写了很多关于在世界上几乎所有国家中发现可免费访问的数据库的文章,但是几乎没有关于俄罗斯数据库留在公共领域的消息。 尽管他最近写了关于“克里姆林宫的手臂”的文章,但这位荷兰研究人员在2000多个开放式数据库中惊恐地发现了这本书。
可能会有一个误解,认为在俄罗斯一切都很好,而大型俄罗斯在线项目的所有者负责负责地存储用户数据。 我急于在这个例子上揭穿这个神话。
显然,俄罗斯医疗在线服务DOC +设法使ClickHouse数据库离开了公共领域的访问日志。 不幸的是,日志看起来太详细了,以至于该服务的员工,合作伙伴和客户的个人数据可能会遭受泄漏。
首先要先...
: . . , .
与我一样,与电报频道“ 信息泄漏 ”的所有者一样,频道读者与我联系,希望保持匿名并在字面上报告以下内容:
在Internet上发现了一个开放的ClickHouse服务器,该服务器属于doc +。 服务器的IP地址与在docplus.ru域上配置的IP地址匹配。
摘自Wikipedia: DOC +(New Medicine LLC)是一家俄罗斯医疗公司,提供远程医疗领域的服务,在家中打电话给医生,以存储和处理个人医疗数据 。 该公司从Yandex获得了投资。
从收集的信息来看,ClickHouse数据库确实是免费提供的,任何知道IP地址的人都可以从中获取数据。 该数据据称是服务访问日志。
从上图可以看出,除了Web服务器www.docplus.ru和ClickHouse服务器(端口9000)之外,MongoDB数据库(似乎没什么意思)也挂在同一IP地址上。
据我所知,Shodan.io搜索引擎被用来检测ClickHouse服务器(我单独写了关于研究人员如何发现开放数据库的信息 ),以及一个特殊的ClickDown脚本,该脚本检查所找到的数据库是否缺乏身份验证并列出其所有表。 那时,似乎有474个。
从文档知道,默认情况下,ClickHouse服务器在端口8123上侦听HTTP。 因此,要查看表中包含的内容,足以执行类似以下SQL查询的操作:
http://[IP-]:8123?query=SELECT * FROM [ ]
作为查询的结果,它可能会返回以下屏幕快照中指示的内容:
从屏幕截图中可以清楚地看到, HEADERS字段中的信息包含有关用户位置(纬度和经度),其IP地址,有关与之连接的设备的信息,操作系统版本等信息。
例如,如果有人修改了SQL查询,例如:
http://[IP-]:8123?query=SELECT * FROM [ ] WHERE REQUEST LIKE '%25Profiles%25'
它可能会返回类似于雇员的个人数据的信息,例如:姓名,出生日期,性别,TIN,注册地址和实际居住地,电话号码,职位,电子邮件地址等等:
上面屏幕截图中的所有这些信息与1C:Enterprise 8.3中人事部门的数据非常相似。
查看了API_USER_TOKEN参数之后,您可能会认为这是一个“有效”的令牌,可以用来代表用户执行各种操作-包括接收其个人数据。 但是我当然不能这样说。
目前,还没有信息表明在相同的IP地址上仍可以免费使用ClickHouse服务器。
New Medicine LLC已就此事件生成了官方声明。 该声明包含许多字母,简要总结如下:“轻微泄漏。 人为因素。 少于1%。 测试环境(在主IP上!)”。 我不太懒于阅读全文:
New Medicine LLC(DOC +)公司是个人数据的运营商,因此采取了法律要求的所有保护措施。 该公司已经引进了现代安全设备,该设备已经通过了FSB和FSTEC的必要认证程序。 建立内部流程来管理和控制处理个人数据的信息系统的安全状态。 有关保护和处理个人数据的政策,请访问我们的网站。
DOC +使用ClickHouse服务调试客户端产品改进的功能。 ClickHouse从测试和生产环境中加载数据。 ClickHouse服务在公司的服务器上运行,对其访问受到严格管制和限制。 ClickHouse数据在公共领域的出现是由于与人为因素有关的错误。 漏洞发布后,立即关闭了03/17/19的数据访问。 该公司会定期分析个人数据保护系统中的漏洞,并且肯定会发现并修复此错误。 不幸的是,直到其他专家发现错误后,我们才有时间这样做。
暂时公开了少量数据,这不会对DOC +服务的员工和用户造成负面影响。 事件发生时,ClickHouse的数据主要来自测试环境。 在公共领域中的客户的公共数据是匿名的,只有接收到整个数据库后,他们才能识别个人数据的主题。 对访问数据库的历史记录和来自服务器的传出流量的分析表明,泄漏可能会影响不到所有信息的1%。
事件的事实是正在进行的内部程序。 我们正在开发并且已经开始执行其他措施来进一步加强数据保护。 我们对此事件感到遗憾,但再次强调没有给我们的客户带来负面影响。 从公司成立之初,您的安全和隐私便是整个DOC +团队的首要任务。