曝泰国最大的移动运营商泄露83亿条用户数据记录

昨日，平安研究人员Justin Paine在一篇文章中表明本身发现了一个公开的ElasticSearch数据库，而该数据背后直指泰国一家移动收集运营商分部AIS。今朝AIS已将露出在收集上的数据库脱机。

[本文来自：www.ii77.com]

此次数据泄露事件波及数百万名用户，数据记录达83亿条，容量约为 4.7 TB，每 24 小时增加 2 亿记录。该数据库无需暗码即可接见，包罗DNS查询和Netflow数据。

[本文来自：www.ii77.com]

这些数据泄露的后果就是，相关用户的收集行为都能够为他人甚至是造孽分子，实时认识。

随后，平安研究人员这个bug申报给了AIS和泰国国度较量机紧要应急小组ThaiCERT，之后AIS封闭数据库，住手其他用户随意接见。

AIS 是泰国最大的GSM移动运营商，用户约有4000万。此次可公开接见的数据库由其子公司 Advanced Wireless Network (AWN)掌握。

“这不是我们用户的小我数据，我们没有一个客户受到影响，没有财务损失。”在这数据泄露事件曝出后，公关负责人Saichon Sapmak-udom发布了这个声明。相关负责人否认此次的用户数据泄露，并透露只是一项改善收集办事的测试。

83亿数据泄露时间长达三周

凭据BinaryEdge中的可用数据，该数据库于2020年5月1日首次许可公开接见。2020年5月7日，约六天后，平安研究人员发现了该数据库。

该数据库无需身份验证即可查察，包含部门三个ElasticSearch节点集群。

在泄露的三周时间内，数据量络续增进，每24小时则添加约2亿行新数据。截止2020年5月21日，数据库中存储了8,336,189,132个文档。此数据包含NetFlow数据和DNS查询日志。

DNS查询流量仅记录了大约8天（2020-04-30 20:00 UTC-2020-05-07 07:00 UTC），捕捉了3,376,062,859个DNS查询日志。今朝尚不清楚他们为安在这段短暂的时间后住手记录DNS查询。

要害数据点	数量
已记录的DNS查询	3,376,062,859 每秒2,538
独一的源IP能够在48小时内记录DNS	11,482,414
跨越48小时的rrname（DNS查询值）的独一计数	2,216,07

其余大约50亿行数据是NetFlow数据，NetFlow数据以每秒大约3200个事件的速度记录。这类信息记录了源IP向特定的方针IP发送了分歧类型的流量，以及传输了几多数据。

在上图中，这是对方针IP地址的HTTPS（TCP端口443）恳求。能够在方针IP长进行反向DNS查找，以快速识别此人将使用哪个HTTPS网站。

数据行使的潜在风险

在平安研究人员的博客中能够看到，他选择了一个流量低至中等的单个源IP地址验证DNS查询日志的主要性。对于这个IP地址，数据库包含668个Netflow记录。该数据库还具体列出了从这个IP获取的流量类型，好比DNS流量、HTTP、HTTPS、SMTP等。

由此可见，仅凭据DNS查询，就能够确定相关用户的具体信息：

他们至少有1台Android设备

他们要么拥有Samsung Android设备，要么拥有其他三星设备，例如保持互联网的电视。

他们至少有1台Windows设备

他们至少有1台Apple设备

他们使用Google Chrome浏览器

他们使用Microsoft Office

他们使用ESET防病毒软件

他们接见了以下社交媒体网站：Facebook，Google，YouTube，TikTok，微信

这类数据不测泄露事件时常发生，是以也更值得企业和厂商的存眷。

首先，ElasticSearch和Kibana需要有更平安和合理的默认设置，若是企业人员要将数据库发布在收集上，更需要郑重。若是发现无需任何身份验证即可公开接见，则需要提醒和警告用户。

其次，从用户ISP中获取NetFlow和sFlow数据会泄露小我信息，能够使用DoH或DoT来珍爱用户的DNS通信在传输过程中的平安，让用户的ISP无法被看到、记录、看管甚至有时出售DNS查询流量。

事件时间线：

2020年5月7日，平安研究人员发现公开的ElasticSearch数据库；

2020年5月13日  ，关联数据库所有者AIS；

2020年5月13日至21日，多次测验关联未果；

2020年5月21日  ，将该问题提交给ThaiCERT；

2020年5月22日  ，住手数据库接见。

参考链接：

泰国数据库泄露了83亿条互联网记录

宏大的80亿泰国互联网记录数据库泄露

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM

出色介绍