泰国最大蜂窝网络AIS数据库脱机,八十多亿实时互联网记录泄漏

2020-06-01 15:26:38 浏览数 (1)

大数据文摘出品

作者:刘俊寰

数据泄露事件再出,这次遭殃的是泰国互联网用户

近日,泰国最大的蜂窝网络AIS被指使数据库脱机数十亿实时互联网记录遭到泄漏,涉及到数百万泰国互联网用户,80多亿互联网记录

安全研究员Justin Paine表示,根据BinaryEdge中的可用数据,该数据库于5月1日首次被公开并允许任何人访问。在博客文章中,Paine对整个事件进行了梳理。

根据泰国互联网监视法,泰国当局拥有对互联网用户数据的全面访问权限,不仅如此,泰国还拥有亚洲最严格的审查制度,禁止用户对泰国王室、国家安全和某些政治问题提出任何批评。

2017年,在两年前的政变中上台泰国军政府在全国范围内对Facebook的禁令进行了更严格的规定,原因是Facebook拒绝接受来自泰国官方的审查。

在博客文章中,Paine表示,他在没有使用密码的情况下就轻松找到了包含DNS查询和Netflow数据的数据库,通过访问该数据库,任何人都可以“快速描绘”互联网用户(或及其家庭)的实时动态。

同时,Paine还发现,在大约3周的时间内,该数据库的呈爆发式增长,每24小时新添加的数据大约有2亿行,截至2020年5月21日,数据库中已经存储有8,336,189,132个文档。

Paine观察到,他们只记录了从4月30日到5月7日的情况,短短八天内,他们就捕获到了3,376,062,859个DNS查询日志,大约每秒2538个。在此之后,他们便停止记录了DNS查询,目前尚不清楚他们这么做的原因,也许获得的数据要比他们打算捕获的要多得多。

在确认泄漏事件后,Paine于5月13日向AIS提交了通知,但一周后仍然没有回音,随后,Paine便向泰国国家计算机紧急响应小组ThaiCERT报告了这一安全漏洞,该小组立即与AIS取得了联系,正在针对这一事件进行调查。在这不久后,该数据库便无法访问。

AIS发言人Sudaporn Watcharanisakorn确认AIS对数据的所有权,并对此次安全漏洞道歉,“我们可以确定,在五月份的预定测试中,在有限的时间内公开了少量非个人,非关键的信息”,“所有数据均与互联网使用模式有关,不包含可用于识别任何客户的个人信息”,“在这种情况下,我们承认我们的程序不完善,对此深表歉意。”

事实上并非如此。DNS查询是使用互联网的正常副作用,每次访问网站时,浏览器都会将网址转换为IP地址,从而告诉浏览器网页的位置。尽管DNS查询不包含电子邮件或密码等私人敏感消息,但它们可以识别用户访问的网站以及使用的应用程序。

AWN使用了一个名为ElastiFlow的工具,该工具简化了将NetFlow或sFlow数据获取到Elasticsearch中的过程,在那里可以使用Kibana快速可视化。预建的“地理IP”仪表板总结了被捕获流量的地理分布情况,不出所料,大部分的流量来自泰国,尽管也有相当数量的流量来自周边国家

这对于记者和激进主义者们来说,数据泄露后他们的风险系数更高,因为他们的互联网记录可用于追踪和识别信源。

DNS查询数据还可以用于深入了解一个人的互联网活动。Paine利用数据展示了任何人都有权访问数据库,并从中获取某些信息,比如用户拥有的设备、他们运行的病毒软件、使用的浏览器以及社交网络、经常打开的媒体应用和网站。考虑到在家庭或办公室中,许多人共享同一个网络连接,这也使得利用网络活动追溯到特定个人变得更加困难。

在博客中,Paine对未来如何防范相关事再发生提出了两点建议,首先是对于ElasticSearch和Kibana而言,需要公司设定更安全和合理的默认值,其次用户也有必要使用DoH或DoT保护DNS通信在传输过程中的安全。

相关报道:

https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/?=may-23-2020

https://techcrunch.com/2020/05/24/thai-billions-internet-records-leak/

0 人点赞