昨日,安全研究员JustinPaine在一篇文章中表示,他发现了一个公开的ElasticSearch数据库,其背后的数据直指泰国某移动网络运营商分部AIS。目前AIS已经将暴露在网络上的数据库下线。数据泄露影响了数百万用户,有83亿条数据记录和约4.7TB的容量,每24小时新增2亿条记录。该数据库无需密码即可访问,包括DNS查询和Netflow数据。这些数据泄露的后果是,相关用户的在线行为可以被他人甚至犯罪分子实时了解。随后,安全研究人员将此漏洞报告给了AIS和泰国国家计算机应急响应小组ThaiCERT,之后AIS关闭了数据库并阻止其他用户随意访问。AIS是泰国最大的GSM移动运营商,拥有大约4000万用户。可公开访问的数据库由其子公司AdvancedWirelessNetwork(AWN)控制。“这不是我们用户的个人数据,我们的客户都没有受到影响,也没有经济损失。”公共关系主管SaichonSapmak-udom在数据泄露事件曝光后发表了声明。相关负责人否认此次用户数据泄露,并表示只是为了提升网络服务而进行的测试。83亿数据泄露跨越三周根据BinaryEdge中可用的数据,该数据库于2020年5月1日首次公开访问。大约六天后的2020年5月7日,安全研究人员发现了该数据库。无需身份验证即可查看的数据库包含三个ElasticSearch节点集群的一部分。在数据泄露的三周期间,数据量持续增长,每24小时新增约2亿行。截至2020年5月21日,数据库中存储了8,336,189,132份文件。此数据包括NetFlow数据和DNS查询日志。仅记录了大约8天(2020-04-3020:00UTC-2020-05-0707:00UTC)的DNS查询流量,捕获了3,376,062,859条DNS查询日志。目前还不清楚为什么他们在这么短的时间后就停止记录DNS查询。其余约50亿行数据是NetFlow数据,以每秒约3200个事件的速率记录。此类信息记录了从源IP发送到特定目标IP的不同类型的流量,以及传输了多少数据。在上图中,这是对目标IP地址的HTTPS(TCP端口443)请求。可以在目标IP上进行反向DNS查找,以快速识别此人将使用哪个HTTPS网站。数据利用的潜在危害可以在安全研究人员的博客中看到,他选择了一个具有低到中等流量的单一源IP地址来验证DNS查询日志的重要性。对于这个IP地址,数据库包含668条Netflow记录。该数据库还详细说明了从此IP获取的流量类型,例如DNS流量、HTTP、HTTPS、SMTP等。由此可以看出,仅基于DNS查询,就可以确定相关用户的详细信息:他们至少拥有1台Android设备他们拥有三星Android设备或其他三星设备,例如联网电视。他们至少有1台Windows设备他们至少有1台Apple设备他们使用GoogleChrome他们使用MicrosoftOffice他们使用ESET杀毒软件他们访问以下社交媒体网站:Facebook、Google、YouTube、TikTok、微信时间,所以更值得企业和厂商关注。首先,ElasticSearch和Kibana需要有更安全合理的默认设置。如果企业人员要将数据库发布到网络上,则需要更加谨慎。如果发现用户无需任何身份验证即可公开访问,则需要提醒和警告用户。其次,从用户的ISP处获取NetFlow和sFlow数据会泄露个人信息,在传输过程中可以使用DoH或DoT保护用户DNS通信的安全,使用户的ISP无法被看到、记录、监控甚至有时出售DNS查询流量。事件时间轴:2020年5月7日,安全研究人员发现了公共ElasticSearch数据库;2020年5月13日,联系数据库所有者AIS;2020年5月13-21日,多次联系失败;20202020年5月21日,将issue提交给ThaiCERT;2020年5月22日,停止数据库访问。
