儘管AIS旗下子公司的公開ElasticSearch資料庫上,僅存放使用者DNS查詢與NetFlow紀錄,但揭露這起事件的Justin Paine認為,透過這些資訊就能得知用戶持有哪些品牌裝置以及網路使用行為,理應被視為敏感資訊。例如Paine選擇了某個特定的IP進行分析,其中的DNS查詢即曝露該IP的行為,包括曾造訪臉書(28次)、Google(21次)、蘋果網路、Google Play、Chrome、YouTube、三星網路等。(圖片來源/Justin Paine)

安全研究人員Justin Paine近日揭露,他在網路上發現了一個不需驗證使用者身分就能存取的ElasticSearch資料庫,查看之下,他發現它隸屬於泰國最大電信業者AIS旗下的子公司AWN,該資料庫上存放了數千萬用戶的數十億筆即時瀏覽資料,儘管只是DNS查詢與Netflow紀錄,但依舊能得知特定IP的網路瀏覽行為。

泰國的總人口數約為7千萬人,而專門提供GSM行動電話服務的AIS則有近4千萬用戶,其子公司AWN則是提供有線及無線網路服務、電信網路與電腦系統。

Paine指出,雖然他是在5月7日才發現曝露的ElasticSearch資料庫,但該資料庫自5月1日就能公開存取,而AWN則是在5月22日,才將它自公開網路上移除。

該資料庫上存放了逾33億筆的DNS即時查詢記錄,涉及上千萬個獨立IP,還有大約50億行的NetFlow記錄,每秒約紀錄3,200個事件,在24小時內紀錄了超過100萬個不重覆IP。其中,NetFlow為思科所開發的網路協定,主要用來蒐集IP流量資訊並監控網路流量。

儘管資料庫上並未存放使用者的個人資訊或帳號、密碼,而只有DNS查詢與NetFlow記錄,但Paine認為,透過DNS查詢紀錄就能得知個人或一個家庭的網路使用行為,理應被視為敏感資訊。

為了證實他的理論,Paine選擇了某個特定的IP進行分析,這個IP在資料庫中有668筆流量紀錄,涵蓋DNS流量、HTTP、HTTPS及SMTP等,其中的DNS查詢即曝露該IP的行為,例如它曾造訪臉書(28次)、Google(21次)、蘋果網路、Google Play、Chrome、YouTube、三星網路、微軟Office、Windows網站、ESET、TikTok或微信等。

於是Paine判斷該使用者或是該家庭至少擁有1個Android裝置,也可能擁有像是網路電視的三星裝置,至少有一個Windows裝置,也至少有一個蘋果裝置,使用Chrome瀏覽器、Office、ESET防毒軟體,以及所造訪的社交網路。

這已經不是第一個因配置失誤而曝光的ElasticSearch資料庫,Paine建議該資料庫應該在使用者(不管有意或無意)將它公開時祭出警告,另外也建議使用者應該採用DNS over HTTPS或DNS over TLS,以避免ISP業者記錄並追蹤使用者的DNS查詢。


Advertisement

更多 iThome相關內容