来源:[db:来源] 时间:2022-09-22 14:31:26
原标题:泰国最大电信业者AIS外洩数千万用户的即时浏览资料
儘管AIS旗下子公司的公开ElasticSearch资料库上,仅存放使用者DNS查询与NetFlow纪录,但揭露这起事件的Justin Paine认为,透过这些资讯就能得知用户持有哪些品牌装置以及网路使用行为,理应被视为敏感资讯。例如Paine选择了某个特定的IP进行分析,其中的DNS查询即曝露该IP的行为,包括曾造访脸书(28次)、Google(21次)、苹果网路、Google Play、Chrome、YouTube、三星网路等。(图片来源/Justin Paine)
安全研究人员Justin Paine近日揭露,他在网路上发现了一个不需验证使用者身分就能存取的ElasticSearch资料库,查看之下,他发现它隶属于泰国最大电信业者AIS旗下的子公司AWN,该资料库上存放了数千万用户的数十亿笔即时浏览资料,儘管只是DNS查询与Netflow纪录,但依旧能得知特定IP的网路浏览行为。
泰国的总人口数约为7千万人,而专门提供GSM行动电话服务的AIS则有近4千万用户,其子公司AWN则是提供有线及无线网路服务、电信网路与电脑系统。
Paine指出,虽然他是在5月7日才发现曝露的ElasticSearch资料库,但该资料库自5月1日就能公开存取,而AWN则是在5月22日,才将它自公开网路上移除。
该资料库上存放了逾33亿笔的DNS即时查询记录,涉及上千万个独立IP,还有大约50亿行的NetFlow记录,每秒约纪录3,200个事件,在24小时内纪录了超过100万个不重覆IP。其中,NetFlow为思科所开发的网路协定,主要用来蒐集IP流量资讯并监控网路流量。
儘管资料库上并未存放使用者的个人资讯或帐号、密码,而只有DNS查询与NetFlow记录,但Paine认为,透过DNS查询纪录就能得知个人或一个家庭的网路使用行为,理应被视为敏感资讯。
为了证实他的理论,Paine选择了某个特定的IP进行分析,这个IP在资料库中有668笔流量纪录,涵盖DNS流量、HTTP、HTTPS及SMTP等,其中的DNS查询即曝露该IP的行为,例如它曾造访脸书(28次)、Google(21次)、苹果网路、Google Play、Chrome、YouTube、三星网路、微软Office、Windows网站、ESET、TikTok或微信等。
于是Paine判断该使用者或是该家庭至少拥有1个Android装置,也可能拥有像是网路电视的三星装置,至少有一个Windows装置,也至少有一个苹果装置,使用Chrome浏览器、Office、ESET防毒软体,以及所造访的社交网路。
这已经不是第一个因配置失误而曝光的ElasticSearch资料库,Paine建议该资料库应该在使用者(不管有意或无意)将它公开时祭出警告,另外也建议使用者应该採用DNS over HTTPS或DNS over TLS,以避免ISP业者记录并追蹤使用者的DNS查询。
相关推荐
猜你喜欢