Xakep #305. Многошаговые SQL-инъекции
Известный ИБ-специалист Боб Дьяченко (Bob Diachenko), главный исследователь киберугроз в компании Hacken Proof, нашел в сети незащищенную и свободно доступную установку MongoDB и 854 Гб данных: личную информацию 200 млн человек.
Суммарно обнаруженная БД насчитывала 202 730 434 записей и, судя по всему, хранила резюме миллионов китайских пользователей. В базе содержались имена, домашние адреса, телефонные номера, email-адреса, информация о семейном положении и детях, данных о политических взглядах, информация о полученном образовании, прошлых местах работы, желаемом размере оклада и так далее.
Так как найти владельцев БД эксперту не удалось, он опубликовал информацию о проблеме в Twitter и попросил сообщество помочь связаться с хозяевами «дырявой» базы. В ответ один из читателей прислал Дьяченко ссылку на репозиторий GitHub (в настоящее время уже удаленный), содержавший исходники веб-приложения. Это приложение было создано для поиска и агрегирования резюме с сайтов для поиска работы, и структуры данных очень походили на то, что обнаружил эксперт.
Дьяченко выяснил, что одним из основных источников для сбора резюме был популярный в Китае рекрутинговый портал bj.58.com. Исследователь даже связался с его разработчиками, и те подтвердили, что обнаруженные в БД данные были собраны скрапером, а не просто «утекли» на сторону.
Судя по всему, кампания, развернутая экспертом в Twitter, не осталась незамеченной владельцами уязвимой установки MongoDB. Спустя всего несколько дней проблемный сервер обезопасили, а с GitHub пропал репозиторий с исходными кодами скрапера.
Напомню, что это далеко не первый раз, когда Дьяченко обнаруживает подобные утечки. К примеру, в декабре 2018 года исследователь нашел другую незащищенную установку MongoDB, содержавшую данные 66 147 856 уникальных пользователей LinkedIn. Судя по всему, та база так же была составлена из публично доступных профилей.