泰国最大电信业者AIS外洩数千万用户的即时浏览资料

原标题：泰国最大电信业者AIS外洩数千万用户的即时浏览资料

安全研究人员Justin Paine近日揭露，他在网路上发现了一个不需验证使用者身分就能存取的ElasticSearch资料库，查看之下，他发现它隶属于泰国最大电信业者AIS旗下的子公司AWN，该资料库上存放了数千万用户的数十亿笔即时浏览资料，儘管只是DNS查询与Netflow纪录，但依旧能得知特定IP的网路浏览行为。

泰国的总人口数约为7千万人，而专门提供GSM行动电话服务的AIS则有近4千万用户，其子公司AWN则是提供有线及无线网路服务、电信网路与电脑系统。

Paine指出，虽然他是在5月7日才发现曝露的ElasticSearch资料库，但该资料库自5月1日就能公开存取，而AWN则是在5月22日，才将它自公开网路上移除。

该资料库上存放了逾33亿笔的DNS即时查询记录，涉及上千万个独立IP，还有大约50亿行的NetFlow记录，每秒约纪录3,200个事件，在24小时内纪录了超过100万个不重覆IP。其中，NetFlow为思科所开发的网路协定，主要用来蒐集IP流量资讯并监控网路流量。

儘管资料库上并未存放使用者的个人资讯或帐号、密码，而只有DNS查询与NetFlow记录，但Paine认为，透过DNS查询纪录就能得知个人或一个家庭的网路使用行为，理应被视为敏感资讯。

为了证实他的理论，Paine选择了某个特定的IP进行分析，这个IP在资料库中有668笔流量纪录，涵盖DNS流量、HTTP、HTTPS及SMTP等，其中的DNS查询即曝露该IP的行为，例如它曾造访脸书（28次）、Google（21次）、苹果网路、Google Play、Chrome、YouTube、三星网路、微软Office、Windows网站、ESET、TikTok或微信等。

于是Paine判断该使用者或是该家庭至少拥有1个Android装置，也可能拥有像是网路电视的三星装置，至少有一个Windows装置，也至少有一个苹果装置，使用Chrome浏览器、Office、ESET防毒软体，以及所造访的社交网路。

这已经不是第一个因配置失误而曝光的ElasticSearch资料库，Paine建议该资料库应该在使用者（不管有意或无意）将它公开时祭出警告，另外也建议使用者应该採用DNS over HTTPS或DNS over TLS，以避免ISP业者记录并追蹤使用者的DNS查询。